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随 着 信息 技术 的 迅猛 发 展 和 广泛 应 用 ,社会 信息 化 进程 不 断 加 快 , 信息 网 络 的 基础 性 、 
全 局 性 作用 日 益 增强 ， 社 会 对 计算 机 网 络 的 依赖 性 越 来 越 大 。 随 之 而 来 的 是 计算 机 网 络 安 
全 问题 。 普 及 计算 机 网 络 安全 知识 以 及 从 法 律 上 、 技 术 上 确保 计算 机 网 络 的 安全 ， 已 成 为 
保护 我 国 计 算 机 网 络 安全 的 头等 大 事 。 鉴 于 此 ， 为 高 职高 专 计算 机 及 其 相关 专业 的 学 生 开 
设计 算 机 网 络 安全 技术 课 是 十 分 必要 的 。 

在 编写 本 教材 时 ， 密 切 结合 高 职 职业 性 、 实 践 性 、 适 应 性 、 针 对 性 的 特点 ， 对 于 计算 
机 网 络 安全 技术 的 理论 知识 和 工作 原理 介绍 的 简单 一 些 ， 而 更 多 的 内 容 侧重 于 对 计算 机 具 
体 网 络 安全 技术 应 用 的 介绍 。 全 书 共 分 9 章 ， 通 俗 地 痢 述 了 网 络 所 涉及 的 安全 问题 及 各 种 
相关 的 安全 技术 及 应 用 。 主 要 内 容 包 括 计 算 机 网 络 安全 概述 、 密 码 技术 、 网 络 通信 协议 与 
安全 、Windows Server 2003 网 络 安全 与 策略 、 防 火 墙 应 用 技术 、 入 侵 检测 技术 、 网 络 病毒 
安全 、 黑 客 的 攻击 与 防范 以 及 Web 安全 与 维护 。 

第 1 章 是 计算 机 网 络 安全 概述 ， 主 要 内 容 包括 计算 机 网 络 安全 简介 、 网 络 安全 面临 的 
威胁 及 原因 、 网 络 安全 机 制 ; 第 2 章 是 密码 技术 ， 介 绍 了 数据 加 密 标准 DES 等 常见 的 加 密 
算法 ， 同 时 详细 介绍 了 加 密 技 术 的 典型 应 用 一 一 数字 签名 的 实现 方法 ; 第 3 章 是 网 络 通信 
协议 与 安全 ， 介 绍 了 网 络 通信 的 安全 性 、 网 络 通信 存在 的 安全 威胁 等 ， 第 4 章 是 Windows 
Server 2003 网 络 安全 与 策略 ,主要 以 Windows Server 2003 为 基础 ,讲述 了 操作 系统 的 安全 
机 制 、 安 全 管理 及 安全 应 用 ; 第 5 章 是 防火 墙 应 用 技术 ， 内 容 包括 防火 墙 的 简介 、 类 型 、 
配置 ， 防 火 墙 的 选 购 和 使 用 ， 常 见 的 防火 墙 产品 介 绍 ; 第 6 章 是 入 侵 检测 技术 ， 内 容 包括 
入 侵 检测 简介 、 类 型 、 配 置 、 选 购 和 使 用 ， 以 及 常见 的 入 侵 检测 系统 ; 第 7 章 是 网 络 病毒 
安全 ， 介 绍 了 计算 机 网 络 病毒 的 检测 、 防 范 和 清除 的 常用 技术 ; 第 8 章 是 黑客 的 攻击 与 防 
范 ， 主 要 介绍 了 常用 的 黑客 攻击 方法 及 常用 的 防 黑 措 施 ; 第 9 章 是 Web 安全 与 维护 ， 主 要 
内 容 包 括 Web 技术 简介 、Web 服务 器 安全 、Web 浏览 器 安全 等 。 

本 书 内 容 安排 合理 ， 逻 辑 性 强 ， 文 字 简 明 ， 和 循序渐进， 通俗 易 履 。 书 中 提供 了 大 量 的 
网 络 安全 技术 实 训 , 读者 通过 实 训 项 目的 操练 , 可 以 掌握 计算 机 网 络 安全 的 基本 原理 与 技术 ， 
进而 增强 对 实际 问题 的 处 理 能 力 。 为 方便 教学 ， 本 书 配 有 电子 课件 以 及 习题 答案 ， 读 者 可 到 
清华 大 学 出 版 社 网 站 下 载 。 该 书 适 合 高 职高 专 计算 机 网 络 技术 及 其 相关 专业 学 生 使 用 ， 也 可 
作为 计算 机 网 络 安全 的 培训 教材 ， 对 从 事 信息 安全 的 人 员 也 是 一 本 技术 应 用 参考 书 。 

本 书 在 编写 过 程 中 得 到 了 许多 专家 和 同仁 以 及 清华 大 学 出 版 社 编辑 的 大 力 支持 ， 在 此 
向 他 们 表示 最 真挚 的 感谢 ! 

由 于 作者 水 平 有 限 ， 书 中 不 免 有 疏 漏 和 不 足 之 处 ， 欢 迎 广大 读者 批评 指正 。 主 编 邮 箱 : 
Tuopiao97121@163.com 〈 耿 杰 )。 
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第 1 章 
计算 机 网 络 安 全 概述 


掌握 网 络 安全 的 定义 。 

掌握 网 络 面临 的 各 种 安全 威胁 。 
了 解 产生 网 络 安全 威胁 的 原因 。 
了 解 计 算 机 系统 的 安全 等 级 。 


> 能 识别 网 络 威胁 的 类 别 。 
> 熟练 使 用 网 络 工具 对 计算 机 系统 进行 漏洞 扫描 。 
> 能 区 分 常用 计算 机 系统 的 安全 级 别 。 


随 着 Ptemet 的 不 断 发 展 , 网 络 上 丰富 的 信息 资源 给 用 户 带 来 了 极 大 的 方便 , 但 同时 也 
给 上 网 用 户 带 来 了 安全 问题 。 由 于 Intemet 的 开放 性 、 超 越 组 织 与 国界 等 特点 , 使 它 在 安全 
性 上 存在 一 些 隐患 ， 而 且 信 息 安全 的 内 涵 也 发 生 了 一 些 变化 。 目 前 ， 网 络 安全 问题 已 经 在 
许多 国家 引起 了 普遍 关注 ， 成 为 当今 网 络 技术 的 一 个 重要 研究 课题 。 


1.1 计算 机 网 络 实 全 简介 


目前 ，Intemet 几乎 覆盖 了 世界 各 地 ， 容 纳 了 数 十 万 个 网 络 ， 为 几 十 亿 用 户 提供 了 形式 
多 样 的 网 络 与 信息 服务 。 除 了 广泛 应 用 的 Web 网 页 、E-mail、 新 闻 论 坛 等 文本 信息 的 交流 
与 传播 外 ， 网 络 电话 、 网 络 传真 、 视 频 等 通信 技术 都 在 迅猛 地 发 展 。 在 信息 化 社会 中 ， 计 
算 机 网 络 将 在 政治 、 军 事 、 人 金融、 商业、 交通、 电信、 文教 等 方面 发 挥 越 来 越 重要 的 作用 。 
社会 对 网 络 的 依赖 日 益 增强 。 人 们 依靠 计算 机 网 络 系统 接收 和 处 理 信 息 ， 实 现 相互 间 的 联 
系 和 对 目标 的 管理 、 控 制 。 通 过 网 络 交流 信息 、 获 得 信息 已 成 为 现代 信息 社会 的 一 个 主要 
特征 。 网 络 正 改变 着 人 们 的 工作 方式 和 生活 方式 。 

科技 进步 在 造福 人 类 的 同时 ， 也 带 来 了 新 的 危害 。 随 着 网 络 的 开放 性 、 共 享 性 和 互联 
程度 的 扩大 , 特别 是 Internet 的 出 现 , 网 络 的 重要 性 和 对 社会 的 影响 越 来 越 大 ， 随 之 相伴 的 
是 由 于 网 络 的 脆弱 性 ， 利 用 计算 机 网 络 犯罪 的 情况 越 来 越 严重 ， 已 经 严重 地 危害 了 社会 的 
发 展 和 国家 的 安全 。 

1989 年 10 月 ， WANK (Worms Against Nuclear Killers) 肾 虫 入 侵 NASA (美国 宇航 局 ) 
可 能 是 历史 上 第 一 次 有 记载 的 系统 入 侵 。 某 个 家 伙 为 了 抗议 “ 钙 ”驱动 的 伽利略 探测 器 的 
发 射 而 入 侵 了 NASA 系统 ， 造 成 了 约 50 万 美金 的 损失 。 

1996 年 8 月 14 日 ， 美 国 发 生 一 起 计算 机 病毒 入 侵 计 算 机 网 络 的 事件 ， 几 千 台 计算 机 
被 病毒 感染 ，Internet 不 能 被 正常 访问 。 政 府 不 得 不 立即 做 出 反应 ， 国 防 部 成 立 了 计算 机 快 
速 行动 小 组 。 这 次 病毒 事件 导致 的 直接 经 济 损失 达 1 亿 多 美元 。 

2000 年 1 月 ， 上 昵称 Maxim 的 黑客 侵入 CD Universe 购物 网 站 并 窃取 了 30 万 份 信用 卡 
资料 。 

2003 年 3 月 21 日 ， 黑 客 侵入 了 江苏 某 信 息 网 的 多 台 服 务 器 ， 破 译 了 密码 数据 库 ， 获 得 
了 网 络 工 作 人 员 的 口令 和 300 多 个 合法 用 户 的 账户 与 密码 ， 并 将 这 些 密码 和 口令 公布 于 众 。 

2008 年 2 月 ,一 黑客 利用 无 线 刷卡 设备 的 漏洞 入 侵 了 美国 两 家 大 型 连锁 超市 Hannaford 
和 Sweetbay， 盗 窃 了 1800 份 完整 的 信用 卡 资料 和 420 万 份 信用 卡 的 部 分 资料 。 

2011 年 ， 国 内 新 增 木马 等 恶意 程序 数量 高 达 4.48 亿 个 ， 平 均 每 秒 出 现 29 个 新 木马 
相 比 2010 同期 暴涨 346%。 游 戏 外 挂 、 在 线 视频 、 伪 装 图 片 以 及 破解 软件 是 木马 病毒 的 四 
大 “ 重 灾区 ” 平均 每 天 约 453 万 台 计算 机 受到 木马 的 攻击 。 

事实 上 ， 上 面 这 些 网 络 入 侵 事 件 只 是 我 们 知道 的 实际 所 发 生 的 事例 中 非常 微小 的 一 部 
分 ， 有 相当 多 的 网 络 入 侵 或 攻击 并 没有 被 发 现 ， 或 者 出 于 各 种 各 样 的 原因 未 被 公开 。 

面 对 越 来 越 严重 的 计算 机 网 络 安全 的 威胁 ， 必 须 采 取 措 施 来 保证 计算 机 网 络 的 安全 。 
但 是 现 有 的 计算 机 网 络 大 多 数 在 设计 的 开始 都 忽略 了 安全 问题 , 即使 有 的 考虑 了 安全 问题 ，、 | / 
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大 部 分 都 是 把 安全 机 制 建立 在 物理 安全 上 。 随 着 网 络 的 互联 程度 的 扩大 ， 这 种 安全 机 制 对 
于 网 络 环境 来 讲 很 脆弱 。 同时， 目前 网 络 上 使 用 的 协议 ， 如 TCP/IP 协议 ， 在 制定 之 初 也 没 
有 把 安全 考虑 在 内 ， 所 以 网 络 协议 本 身 就 是 不 设防 的 ， 其 存在 很 多 的 安全 问题 ， 不 能 满足 
网 络 安全 要 求 。 另 外 ， 网 络 的 开放 性 和 资源 共享 也 是 安全 问题 的 一 个 主要 根源 ， 解 决 这 个 
问题 主要 依赖 于 加 密 、 网 络 用 户 身份 鉴别 、 存 取 控 制 策略 等 技术 手段 。 

一 个 安全 的 网 络 体系 至 少 应 包括 3 类 措施 : 法 律 措 施 、 技 术 措 施 、 政 策 措 施 。 面 对 计 
算 机 网 络 安全 的 种 种 威胁 ， 仅 仅 利用 物理 上 和 政策 上 的 手段 是 十 分 有 限 和 困难 的 ， 因 此 也 
应 采用 逻辑 上 的 措施 ， 即 研究 开发 有 效 的 网 络 安全 技术 ， 例 如 安全 协议 、 密 码 技术 、 数 字 
签名 、 防 火 墙 、 安 全 管理 、 安 全 审计 等 ， 以 防止 网 络 上 传输 的 信息 被 非法 窃取 、 算 改 、 伪 
造 ， 保 证 其 保密 性 和 完整 性 ;防止 非法 用 户 的 侵入 ， 限 制 网 络 上 用 户 的 访问 权限 ， 保 证 信 
息 存 放 的 私有 性 。 除 了 私有 性 和 完整 性 外 ， 一 个 安全 的 计算 机 网 络 还 必须 考虑 通信 双方 身 
份 的 真实 性 和 信息 的 可 用 性 。 

计算 机 网 络 安全 的 目的 是 要 保证 网 络 上 数据 存储 和 传输 的 安全 性 。 国 内 外 很 多 研究 机 
构 为 了 解决 这 个 问题 做 了 大 量 的 工作 ， 主 要 有 数据 加 密 、 身 份 认证 、 数 字 签名 、 防 火 墙 、 
安全 审计 、 安 全 管理 、 安 全 内 核 、 安 全 协议 、IC 卡 、 拒 绝 服务 、 网 络 安全 性 分 析 、 网 络 信 
息 安 全 监测 和 信息 安全 标准 化 等 方面 的 研究 。 


1.1.1 计算 机 网 络 安 全 的 概念 


1. 什么 是 计算 机 网 络 安全 


计算 机 网 络 安全 是 指 保持 网 络 中 的 硬件 系统 和 软件 系统 正常 运行 ， 使 它们 不 因 自然 和 
人 为 的 因素 而 受到 破坏 、 更 改 和 泄露 。 网 络 安全 主要 包括 物理 安全 、 软 件 安全 、 信 息 安 全 
和 运行 安全 4 个 方面 。 

(1) 物理 安全 。 

物理 安全 包括 硬件 、 存 储 介质 和 外 部 环境 的 安全 。 硬 件 是 指 网 络 中 的 各 种 设备 和 通信 
线路 ， 如 主机 、 路 由 器 、 服 务 器 、 工 作 站 、 交 换 机 、 电 线 等 ， 存 储 媒介 质 包 括 磁盘 、 光 盘 
等 ， 外 部 环境 则 主要 指 计算 机 设备 的 安装 场地 、 供 电 系 统 。 保 障 物理 安全 ， 就 是 要 保护 这 
些 硬件 设施 能 够 正常 工作 而 不 被 损害 。 

(2) 软件 安全 。 

软件 安全 是 指 网 络 软件 以 及 各 个 主机 、 服 务 器 、 工 作 站 等 设备 所 运行 的 软件 的 安全 。 
保障 软件 安全 ， 就 是 保护 网 络 中 的 各 种 软件 能 够 正常 运行 而 不 被 修改 、 破 坏 和 非法 使 用 。 

(3) 信息 安全 。 

信息 安全 是 指 网 络 中 所 存储 和 传输 数据 的 安全 ， 主 要 体现 在 信息 隐蔽 性 和 防 修改 的 能 
力 上 。 保 障 信息 安全 ， 就 是 保护 网 络 中 的 信息 不 被 非法 修改 、 复 制 、 解 密 、 使 用 等 ， 也 是 
保障 网 络 安全 最 根本 的 目的 。 

(4) 运行 安全 。 

运行 安全 指 网 络 中 的 各 个 信息 系统 能 够 正常 运行 并 能 正常 地 通过 网 络 交流 信息 。 保 障 


A 运行 安全 ， 就 是 通过 对 网 络 系统 中 的 各 种 设备 运行 状况 进行 监测 ， 发 现 不 安全 因素 时 ， 及 


时 报警 并 采取 相应 措施 ， 消 除 不 安全 状态 以 保障 网 络 系统 的 正常 运行 。 

网 络 安全 的 目的 是 为 了 确保 网 络 系统 的 保密 性 、 完 整 性 和 可 用 性 。 保 密 性 要 求 只 有 授 
权 用 户 才能 访问 网 络 信息 ;完整 性 要 求 网 络 中 的 数据 保持 不 被 意外 或 恶意 地 修改 ， 可 用 性 
指 网 络 在 不 降低 使 用 性 能 的 情况 下 仍 能 根据 授权 用 户 的 需要 提供 资源 服务 。 


1.1.2 ”网络 安全 的 特征 


由 于 网 络 安全 受到 威胁 的 多 样 性 、 复 杂 性 及 网 络 信息 、 数 据 的 重要 性 ， 在 设计 网 络 系 
统 的 安全 时 ， 应 该 努力 达到 安全 目标 。 一 个 安全 的 网 络 具 有 下 面 5 个 特征 : 可 靠 性 、 可 用 
性 、 保 密 性 、 完 整 性 和 不 可 抵赖 性 。 

(1) 可 靠 性 。 

可 靠 性 是 网 络 安全 最 基本 的 要 求 之 一 ， 是 指 系 统 在 规定 条 件 下 和 规定 时 间 内 完成 规定 
功能 的 概率 。 如 果 网 络 不 可 靠 、 经 常 出 问题 ， 这 个 网 络 就 是 不 安全 的 。 目 前 ， 对 于 网 络 可 
靠 性 的 研究 主要 偏重 于 硬件 可 靠 性 方面 。 研 制 高 可 靠 性 硬件 设备 ， 采 取 合理 的 元 余 备份 措 
施 是 最 基本 的 可 靠 性 对 策 。 但 实际 上 有 许多 故障 和 事故 ， 与 软件 可 靠 性 、 人 员 可 靠 性 和 环 
境 可 靠 性 有 关 。 人 员 可 靠 性 在 通信 网 络 可 靠 性 中 起 着 重要 作用 ， 有 关 资 料 表 明 ， 系 统 失效 
中 很 大 一 部 分 是 由 人 为 因素 造成 的 。 

(2) 可 用 性 。 

可 用 性 是 可 被 授权 实体 访问 并 按 需 求 使 用 的 特性 ， 即 当 需 要 时 能 和 否 存 取 所 需 的 信息 。 
网 络 最 基本 的 功能 是 向 用 户 提供 所 需 的 信息 和 通信 服务 ， 而 用 户 的 通信 要 求 是 随机 的 、 多 
方面 的 ， 有 时 还 要 求 时 效 性 。 网 络 必须 随时 满足 用 户 通信 的 要 求 。 从 某 种 意义 上 讲 ， 可 用 
性 是 可 靠 性 的 更 高 要 求 ， 特 别 是 在 重要 场合 下 ， 特 殊 用 户 的 可 用 性 显得 十 分 重要 。 为 此 ， 
网 络 需要 采用 科学 合理 的 网 络 拓扑 结构 、 必 要 的 宛 余 、 容 错 和 备份 措施 以 及 网 络 自 愈 技术 、 
分 配 配置 和 负荷 分 担 、 各 种 完善 的 物理 安全 和 应 急 措 施 等 ， 从 满足 用 户 的 需求 出 发 ， 保 证 
通信 网 络 的 安全 。 网 络 环境 下 拒绝 服务 、 破 坏 网 络 和 有 关系 统 的 正常 运行 等 都 属于 对 可 用 
性 的 攻击 。 

(3) 保密 性 。 

保密 性 指 信息 不 被 泄漏 给 非 授权 用 户 、 实 体 或 过 程 ， 信 息 只 被 授权 用 户 使 用 。 保 密 性 
是 对 信息 的 安全 要 求 , 它 是 在 可 靠 性 和 可 用 性 的 基础 上 , 保障 网 络 中 信息 安全 的 重要 手段 。 
对 于 敏感 用 户 信息 的 保密 ， 是 人 们 研究 最 多 的 领域 。 由 于 网 络 信息 会 成 为 黑客 、 计 算 机 犯 
罪 、 病 毒 、 甚 至 信息 战 的 攻击 目标 ， 已 受到 了 人 们 越 来 越 多 的 关注 。 

(4) 完整 性 。 

完整 性 也 是 面向 信息 的 安全 要 求 。 它 是 指 信息 不 会 被 偶然 或 蓄意 地 删除 、 修 改 、 伪 造 、 
乱 序 、 重 放 、 插 入 等 操作 破坏 的 特性 。 它 与 保密 性 不 同 ， 保 密 性 是 防止 信息 泄漏 给 非 授 权 
的 用 户 ， 而 完整 性 则 要 求 信息 的 内 容 和 顺序 都 不 受 破坏 和 修改 。 用 户 信 息 和 网 络 信息 都 要 
求 完 整 性 ， 例 如 涉及 金融 的 用 户 信息 ， 如 果 用 户 账 目 被 修改 、 伪 造 或 删除 ， 将 带 来 巨大 的 
经 济 损失 。 网 络 中 的 网 络 信息 一 旦 受到 破坏 ， 严 重 的 还 会 造成 通信 网 络 的 瘫痪 。 

(5) 不 可 抵赖 性 。 

不 可 抵赖 性 也 称 作 不 可 否认 性 ， 是 面向 通信 双方 人、 实体 或 进程 ) 信息 真实 的 安全 
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要 求 。 它 包括 收发 双方 均 不 可 抵赖 。 随 着 通信 业务 的 不 断 扩 大 ， 电 子 贸易 、 电 子 金融 、 电 
子 商 务 和 办 公 自 动 化 等 许多 信息 处 理 过 程 都 需要 通信 双方 对 信息 内 容 的 真实 性 进行 认同 ， 
为 此 ， 应 采用 数字 签名 、 认 证 、 数 据 完 备 、 鉴 别 等 有 效 措施 ， 以 实现 信息 的 不 可 抵赖 性 。 

网 络 的 安全 不 仅仅 是 防范 窃 密 活动 ， 其 可 靠 性 、 可 用 性 、 完 整 性 和 不 可 抵赖 性 应 作为 
与 保密 性 同等 重要 的 安全 目标 加 以 实现 。 我 们 应 从 观念 上 、 政 策 上 做 出 必要 的 调整 ， 全 面 
规划 和 实施 网 络 信息 的 安全 。 


1.2 计算 机 网 络 面 临 的 威胁 


1.2.1 网 络 内 部 威胁 


1. 计算 机 系统 的 脆弱 性 

计算 机 系统 的 脆弱 性 主要 来 自 计算 机 操作 系统 的 不 安全 性 ， 在 网 络 环境 下 ， 还 来 源 于 
网 络 通信 协议 的 不 安全 性 。 计 算 机 系统 有 其 自身 的 安全 级 别 ， 有 关 安 全 等 级 的 定义 我 们 将 
在 1.4.2 节 详 细 讨 论 。 有 的 计算 机 操作 系统 属于 D 级 ， 这 一 级 别 的 操作 系统 根本 就 没有 安 
全 防护 措施 ， 它 就 像 一 个 门窗 大 开 的 房间 ， 如 DOS、Windows 3.x、Windows 95 等 操作 系 
统 , 它们 只 能 用 于 一 般 的 桌面 计算 机 系统 ， 而 不 能 用 于 安全 性 要 求 高 的 服务 器 的 操作 系统 。 
UNIX 系统 和 Windows XP/2000/2003 达到 了 C2 级 别 , 其 安全 性 远 远 强 于 Windows 95 操作 
系统 ， 而 且 主要 用 于 服务 器 上 。 但 这 类 操作 系统 仍然 存在 着 安全 漏洞 ， 因 为 它们 中 都 存在 
超级 用 户 ，UNIX 中 是 root， 而 Windows XP/2000/2003 中 是 Administrator， 如 果 入 侵 者 得 
到 了 超级 用 户口 令 ， 整 个 系统 将 完全 受 控 于 入 侵 者 ， 这 样 系统 就 面临 着 巨大 的 危险 。 现 在 ， 
人 们 正在 研究 一 种 新 型 的 操作 系统 ， 在 这 种 操作 系统 中 没有 超级 用 户 ， 也 就 不 会 存在 超级 
用 户 带 来 的 问题 。 现 在 很 多 操作 系统 都 使 用 静态 口令 ， 但 口令 还 是 有 很 大 的 被 破解 的 可 能 
性 , 而 且 不 好 的 口令 维护 制度 会 导致 口令 丢失 。 口令 丢失 也 就 意味 着 安全 系统 的 全 面 朋 溃 。 
世界 上 没有 能 长 久 运行 的 计算 机 系统 ， 计 算 机 系统 可 能 会 因 硬件 故障 或 软件 原因 而 停 
止 运行 或 运行 错误 ， 或 被 入 侵 者 利用 并 造成 损失 。 硬 盘 故 障 、 电 源 故 障 和 主板 芯片 故障 等 
都 是 人 们 应 经 常 考虑 的 硬件 故障 问题 。 软 件 原因 可 能 存在 于 操作 系统 中 ， 更 多 的 是 存在 于 
应 用 软件 中 。 


2. 来 自 网 络 内 部 的 威胁 


对 网 络 内 部 的 威胁 主要 是 来 自 网 络 内 部 的 用 户 ， 这 些 用 户 试图 访问 那些 不 允许 使 用 的 
资源 和 服务 器 。 可 以 分 为 两 种 情况 ， 一 种 是 有 意 的 安全 破坏 ， 入 侵 者 的 攻击 和 计算 机 犯 
就 属于 这 一 类 。 这 是 计算 机 网 络 所 面临 的 最 大 威胁 ， 此 类 攻击 还 可 以 分 为 主动 攻击 和 被 动 
攻击 两 种 情况 ， 主 动 攻击 是 指 计算 机 网 络 的 内 部 用 户 以 各 种 方式 有 选择 地 破坏 信息 的 有 效 
性 和 完整 性 ， 而 被 动 攻击 则 是 在 不 影响 网 络 正常 工作 的 情况 下 ， 进 行 信息 截获 、 窃 取 、 破 
译 等 ， 目 的 是 为 了 获得 重要 机 密 信息 。 
部 第 二 种 内 部 威胁 是 由 于 用 户 安 全 意识 差 造成 的 无 意识 的 操作 失误 ， 使 得 系统 或 网 络 误 
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操作 或 崩溃 。 如 操作 员 安全 配置 不 当 造成 的 安全 漏洞 或 隐患 、 用 户 安全 意识 不 强 、 用 户口 
令 选 择 不 慎 或 不 恰当 、 用 户 将 自己 的 账号 保护 不 严 或 与 别人 共享 等 都 会 对 网 络 安全 带 来 威 
胁 和 隐患 ， 或 者 被 非法 入 侵 者 加 以 利用 ， 从 而 造成 对 系统 的 危害 。 


1.2.2 ”网络 外 部 威胁 


除了 受到 来 自 网 络 内 部 的 安全 威胁 外 ， 网 络 还 受到 来 自 外 界 的 各 种 各 样 的 威胁 。 网 络 
系统 受到 的 威胁 是 多 样 的 ， 因 为 在 网 络 系统 中 可 能 存在 许多 种 类 的 计算 机 和 操作 系统 ， 采 
用 统一 的 安全 措施 是 不 容易 的 ， 也 是 不 可 能 的 ， 而 对 网 络 进行 集中 安全 管理 则 是 一 种 好 的 
方案 。 

网 络 受到 的 外 部 威胁 可 以 归结 为 物理 威胁 、 网 络 威胁 、 身 份 鉴别 、 病 毒 、 黑 客 、 系 统 
漏洞 等 。 

1.， 物理 威胁 


物理 安全 是 指 保护 计算 机 硬件 和 存储 介质 等 设备 和 工作 程序 不 遭受 损失 。 

网 络 的 物理 安全 是 整个 网 络 系统 安全 的 前 提 ， 总 体 来 说 物理 威胁 主要 有 : 地 震 、 水 灾 、 
火灾 等 环境 事故 ， 电 源 故 障 ; 人 为 操作 失误 或 错误 ， 设 备 被 盗 、 被 毁 ;， 电磁 干扰 ;线路 截 
获 ， 高 可 用 性 的 硬件 ， 双 机 多 宛 余 的 设计 ， 机房 环 境 及 报警 系统 、 安 全 意识 等 。 网 络 工程 
建设 中 ， 由 于 网 络 系统 属于 弱电 工程 ， 耐 压 值 很 低 。 因 此 ， 在 网 络 工程 的 设计 和 施工 中 
必须 优先 考虑 保护 人 和 网 络 设备 不 受 电 、 火 灾 和 雷击 的 侵害 ; 考虑 布线 系统 与 照明 电线 、 
动力 电线 、 通 信 线 路 、 暖 气管 道 及 冷 热 空气 管道 之 间 的 距离 ;考虑 布线 系统 和 绝缘 线 、 裸 
体 线 以 及 接地 与 焊接 的 安全 ;必须 建设 防 雷 系统 ， 防 雷 系统 不 仅 考虑 建筑 物 防 雷 ， 还 必须 
考虑 计算 机 及 其 他 弱电 耐 压 设备 的 防 雷 。 

2， 网 络 威胁 


计算 机 网 络 的 发 展 和 使 用 对 数据 信息 造成 了 新 的 安全 威胁 。 在 计算 机 网 络 上 存在 着 电 
子 窃听 , 因为 分 布 式 计算 机 系统 的 特征 是 各 种 分 离 的 计算 机 通过 一 些 媒介 相互 连接 在 一 起 ， 
进行 相互 通信 ， 而 且 局 域 网 一 般 是 广播 式 的 ， 因 此 只 要 把 网 卡 模式 设置 成 混合 模式 ， 网 络 
上 人 人 都 可 以 收 到 发 向 任何 人 的 信息 。 当 然 ， 也 可 以 通过 加 密 来 解决 这 个 问题 ， 但 目前 ， 
强大 的 加 密 技术 还 没有 在 网 络 上 广泛 使 用 ， 况 且 加 密 也 是 有 可 能 被 破解 的 。 

网 络 设备 的 因素 可 以 构成 网 络 的 安全 威胁 。 我 国 的 很 多 个 人 网 络 用 户 都 是 通过 调制 解 
调 器 + 电话 线 方式 拨号 接 入 Intemet 或 自己 单位 的 局 域 网 的 ， 因 为 调制 解 调 器 也 存在 安全 问 
题 ， 入 侵 者 就 可 能 通过 电话 线 入 侵 到 用 户 的 网 络 中 去 。 

在 Intemet 上 还 存在 着 很 多 电子 欺骗 的 现象 ， 而 这 种 电子 欺骗 的 形式 也 是 多 种 多 样 的 。 
如 一 个 公司 可 能 会 谎 称 一 个 站 点 是 他 们 公司 的 网 站 ， 或 者 在 网 络 通信 中 ， 有 的 人 可 能 冒充 
别人 或 冒充 从 另外 一 台 机 器 访问 某 站 点 等 ， 这 样 会 很 难 辨别 用 户 的 真实 身份。 

3， 身 份 鉴别 

生活 中 时 常 要 用 到 身份 鉴别 ， 这 里 说 的 身份 鉴别 是 指 计算 机 判断 用 户 是 否 使 用 它 的 一 
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种 过 程 。 目 前 ， 身 份 鉴别 普遍 存在 于 计算 机 系统 当中 ， 实 现 的 方式 各 种 各 样 ， 有 的 功能 十 
分 强大 ， 有 的 则 比较 脆弱 。 其 中 ， 口 令 就 是 一 种 比较 脆弱 的 身份 鉴别 手段 ， 它 的 功能 不 是 
很 强 ， 但 因为 实现 起 来 比较 简单 ， 所 以 还 是 被 广泛 采用 。 计 算 机 系统 的 身份 鉴别 中 存在 口 
令 圈套 、 口 令 破解 和 算法 缺陷 等 安全 威胁 。 

口令 圈套 是 一 种 十 分 高 明 的 诡计 ， 它 是 靠 欺 骗 来 获取 口令 的 手段 。 如 登录 欺骗 ， 即 
人 为 写 出 一 个 代码 模块 ， 运 行 起 来 像 登录 屏幕 一 样 ， 并 把 它 插入 到 登录 过 程 之 前 ， 这 样 ， 
用 户 就 会 把 用 户 名 和 登录 口令 告知 程序 ， 这 个 程序 会 把 用 户 名 和 口令 保存 起 来 。 除 此 之 
外 ， 该 代码 还 会 告诉 用 户 登录 失败 ， 并 启动 真正 的 登录 程序 ， 这 样 用 户 就 不 容易 发 现 这 
个 欺骗 。 

还 有 一 种 得 到 口令 的 方式 是 用 密码 字典 或 其 他 工具 软件 来 暴力 破解 口令 ， 有 的 用 户 选 
用 的 口令 十 分 脆弱 ， 如 一 个 人 的 生日 、 电 话 号 码 、 名 字 或 单词 等 ， 这 样 攻击 者 利用 计算 机 
的 速度 就 很 容易 强行 破解 。 因 此 系统 管理 员 应 对 用 户 的 口令 进行 严格 审查 ， 通 常 可 以 利用 
一 些 工 具 软件 来 检查 口令 是 否 达到 系统 管理 的 要 求 和 规定 。 

4. 病毒 


目前 计算 机 数据 安全 的 头号 大 敌 是 计算 机 病毒 ， 它 是 编制 者 在 计算 机 程序 中 插入 的 破 
坏 计算 机 功能 或 数据 ， 影 响 计 算 机 软件 、 硬 件 的 正常 运行 并 且 能 够 自我 复制 的 一 组 计算 机 
指令 或 程序 代码 。 计 算 机 病毒 具有 传染 性 、 寄 生性 、 隐 蔽 性 、 触 发 性 、 破 坏 性 等 特点 。 因 
此 ， 提 高 对 病毒 的 防范 刻不容缓。 

5， 黑 客 


对 于 计算 机 数据 安全 构成 威胁 的 另 一 个 方面 是 来 自 电脑 黑客 〈hacker)。 电 脑 黑客 利用 
系统 中 的 安全 漏洞 非法 进入 他 人 计算 机 系统 ， 其 危害 性 非常 大 。 从 某 种 意义 上 讲 ， 黑 客 对 
祝 息 安全 的 危害 甚至 比 一 般 的 计算 机 病毒 更 为 严重 。 

6.， 系统 漏洞 

系统 漏洞 是 指 应 用 软件 或 操作 系统 软件 在 逻辑 设计 上 的 缺陷 或 在 编写 时 产生 的 错 
误 ， 这 些 缺 陷 或 错误 恰恰 是 黑客 进行 攻击 的 首选 目标 ， 通 过 这 些 缺 陷 或 错误 植 入 木马 、 
病毒 等 方式 来 攻击 或 控制 整个 计算 机 ， 从 而 窃取 计算 机 中 的 重要 资料 和 信息 ， 甚 至 破坏 
计算 机 系统 。 

漏洞 影响 到 的 范围 很 大 ， 包 括 系 统 本 身 及 其 支撑 软件 、 网 络 客户 和 服务 器 软件 、 网 络 
路 由 器 和 安全 防火 墙 等 。 换 言 之 ， 在 这 些 不 同 的 软 、 硬 件 设备 中 都 可 能 存在 不 同 的 安全 漏 
洞 问题 。 


1.2.3 网络 安全 防范 措施 


操作 系统 的 价值 是 由 系统 性 能 、 安 全 管理 花费 的 时 间 、 使 用 性 和 复杂 性 决定 的 。 很 多 
操作 系统 设 有 系统 “安全 员 ” 专 门 管理 和 监控 计算 机 系统 设备 的 安全 运转 。 安 全 措施 有 很 
多 形式 ， 可 以 是 将 操作 系统 设置 成 阻止 用 户 读 取 未 经 批准 的 数据 ， 不 允许 用 户 越权 读 取 数 
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据 信息 。 它 可 以 是 计算 机 用 户 的 工作 步骤 ， 比 如 在 碎 纸 机 或 者 焚烧 炉 中 处 理 所 有 的 打印 资 
料 或 磁 介 质 ; 也 可 以 是 以 报警 和 日 志 的 形式 ， 告 诉 管理 员 在 什么 时 候 有 人 试图 冯 入 或 间 入 
成 功 。 安 全 措施 还 包括 在 操作 人 员 接 触 秘密 数据 前 ， 对 他 们 进行 广泛 的 安全 检查 。 安 全 措 
施 也 可 以 是 保障 物理 安全 的 形式 , 比如 门 上 锁 和 设 报警 系统 以 防止 偷窃 设备 和 存储 介质 等 。 

在 安全 环境 中 ， 许 多 安全 措施 相互 加 强 ， 如 果 一 层 失败 ， 则 另 一 层 将 防止 或 最 大 限度 
地 减少 损害 。 下 面 是 一 些 具体 的 措施 。 

1， 数据 信息 的 备份 

备份 或 复制 重要 的 数据 ， 并 将 复制 或 备份 保留 在 一 个 安全 的 地 方 ， 一 旦 失去 原件 就 能 
使 用 备份 。 应 该 有 规律 地 备份 以 避免 由 于 硬件 故障 导致 的 数据 信息 的 丢失 。 提 高 可 靠 性 是 
提高 安全 性 的 一 种 方法 ， 备 份 就 是 一 种 提高 系统 可 靠 性 的 方法 ， 它 可 以 保证 今天 存储 的 数 
据 明 天 还 可 以 使 用 。 由 于 计算 机 系统 芯片 或 者 电源 的 失效 ， 甚 至 是 火灾 等 可 能 引起 系统 的 
失误 或 破坏 ， 备 份 将 提高 安全 保障 。 

备份 对 于 防范 人 为 的 破坏 也 至 关 重 要 。 如 果 计 算 机 系统 被 破坏 ， 只 要 有 数据 备份 ， 就 可 
以 在 另 一 台 计 算 机 上 恢复 。 备 份 系统 是 最 常用 的 提高 数据 完整 性 的 措施 ， 备 份 工 作 可 以 手工 
完成 ， 也 可 以 自动 完成 ， 现 有 的 操作 系统 ， 如 NetWare、Windows 2000 和 UNIX 等 都 自 带 有 
备份 系统 ， 但 这 种 备份 系统 比较 初级 ， 如 果 对 备份 要 求 高 ， 就 要 配置 专用 的 备份 系统 。 

2.， 病毒 检查 


定期 检查 病毒 并 对 移动 存储 介质 、 下 载 的 文件 或 软件 加 以 安全 控制 ， 最 起 码 应 在 使 用 
前 对 移动 存储 介质 和 下 载 的 软件 进行 病毒 检查 ， 及 时 更 新 杀毒 软件 的 版 本 ， 注 意 病 毒 流 行 
的 动向 ， 及 时 发 现 正在 流行 的 计算 机 病毒 ， 并 采取 相应 的 措施 进行 防范 。 

3. 及 时 安装 补丁 程序 

计算 机 操作 系统 和 应 用 系统 软件 都 会 存在 一 些 漏洞 ， 这 些 漏洞 可 以 通过 软件 商 提供 的 
补丁 程序 进行 修正 ， 因 此 及 时 安装 各 种 安全 补丁 程序 ， 不 要 给 入 侵 者 可 乘 之 机 。 系 统 的 安 
全 漏洞 传播 很 快 ， 若 不 及 时 修正 ， 后 果 就 难以 预料 。 现 在 ， 一 些 大 公司 的 网 站 上 都 有 这 种 
系统 安全 漏洞 的 说 明 ， 并 有 相应 的 解决 方法 ， 用 户 可 以 访问 这 些 站 点 以 获取 有 用 的 信息 ， 
或 对 软件 进行 自动 更 新 ， 如 Windows XP、Windows 2000、Windows Server 2003 等 系统 就 
可 以 进行 自动 更 新 。 

4. 提高 物理 安全 

保证 机 房 的 物理 安全 ， 因 为 即使 采取 了 网 络 安全 或 其 他 安全 措施 , 如果 有 人 闻 入 机 房 ， 
那么 所 有 措施 都 不 是 很 管用 了 。 因此 ,保证 计算 机 机 房 的 安全 是 提高 物理 安全 的 重要 保证 。 

5. 设置 Internet 防火 墙 

Intemet 防火 墙 是 一 种 有 效 保证 网 络 安全 的 技术 , 但 一 个 维护 很 差 的 防火 墙 对 网 络 安全 
也 不 会 有 很 大 的 作用 ， 所 以 还 需要 一 个 有 经 验 的 防火 墙 管理 和 维护 人 员 。 虽 然 防火 墙 是 网 
络 安全 体系 中 极为 重要 的 一 环 ， 但 它 并 不 是 万 能 的 ， 不 能 因为 有 防火 墙 就 认为 可 以 高 枕 无 
忧 。 虽 然 防火 墙 可 以 解决 一 些 安全 问题 ， 防 火 墙 的 应 用 应 该 受到 充分 的 重视 ， 但 仍 有 很 多 \、7/ 
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危险 是 防火 墙 解决 不 了 的 ， 防 火 墙 并 不 能 解决 所 有 的 安全 问题 。 

防火 墙 不 能 防止 内 部 的 攻击 ， 因 为 它 只 提供 了 网 络 边 界 的 防卫 ， 内 部 的 人 员 可 以 滥用 
访问 权限 ， 从 而 引起 安全 事故 。 事实 上 , 许多 黑客 入 侵 事 件 和 Internet 的 关系 很 小 ， 如 一 种 
常用 的 入 侵 手 段 是 社会 工程 攻击 ， 它 就 是 靠 欺骗 获得 一 些 可 以 破坏 安全 的 信息 ， 如 网 络 口 
令 等 。 另 外 ， 一 些 用 来 传递 数据 的 电话 线 也 很 有 可 能 被 用 来 作为 入 侵 内 部 网 络 的 途径 。 

恶意 的 代码 也 是 防火 墙 不 能 解决 的 一 个 问题 ， 如 病毒 和 特洛伊 木马， 而 E-mail 和 Java 
的 使 用 则 为 病毒 的 传播 带 来 了 方便 。 虽 然 现在 的 防火 墙 可 以 检查 病毒 和 特洛伊 木马 ， 但 这 
些 防 火 墙 只 能 阻挡 已 知 的 病毒 程序 ， 这 就 可 能 让 新 的 病毒 或 特洛伊 木马 侵入 系统 。 而 且 ， 
特洛伊 木马 不 仅 来 自 网 络 ， 也 可 能 来 自 软盘 、 光 盘 和 移动 存储 设备 ， 因 此 ， 要 有 相应 的 制 
度 ， 对 网 络 和 磁盘 进行 严格 检查 。 

如 果 没 有 明确 的 信息 安全 制度 ， 即 使 拥有 再 好 的 防火 墙 也 没有 用 。 在 建立 局 域 网 时 如 
果 没 有 做 好 PC 机 的 安全 措施 ， 当 把 局 域 网 连 入 Intemet 时 ， 就 不 能 保证 局 域 网 的 安全 了 。 

6.， 审查 日 志 

阅读 审查 日 志文 件 ， 我 们 可 以 发 现 被 入 侵 的 痕迹 ， 以 便 及 时 采取 弥补 措施 ， 或 追踪 入 
侵 者 。 对 可 疑 活动 一 定 要 进行 仔细 分 析 ， 例 如 ， 有 人 在 试图 访问 一 些 不 安全 的 服务 端口 ， 
利用 扫描 工具 、 木 马 程序 等 手段 访问 用 户 的 服务 器 ， 最 典型 的 情况 就 是 有 人 多 次 企图 登录 
到 用 户 的 机 器 上 ， 但 会 遭 到 多 次 失败 ， 特 别 是 试图 登录 到 Intemet 上 的 通用 账户 。 

7. 数据 加 密 

现代 加 密 技术 很 发 达 。 为 防止 网 络 被 窃听 和 劫持 ， 可 以 对 网 络 通信 加 密 ， 对 绝密 文件 
更 应 该 实施 加 密 ， 以 保证 数据 或 数据 通信 的 可 靠 和 安全 。 


1.3 网 给 实 全 体系 爷 构 


网 络 安全 体系 的 安全 目标 是 系统 的 保密 性 、 完 整 性 与 可 用 性 的 具体 化 。1989 年 ， 为 实 
现 开放 系统 互联 网 环境 下 的 信息 安全 , ISO/TC97 技术 委员 会 制定 了 ISO7498-2 国际 标准 。 该 
标准 从 体系 结构 的 观点 , 描述 了 实现 OSI 参考 模型 之 间 的 安全 通信 所 必需 提供 的 安全 服务 和 
安全 机 制 ， 建 立 了 开放 系统 互联 标准 的 安全 体系 结构 框架 ， 为 网 络 安全 的 研究 葛 定 了 基础 。 


1.3.1 安全 服务 


ISO7498-2 提供 了 以 下 5 种 可 供 选 择 的 安全 服务 。 

1. 鉴别 

鉴别 是 访问 控制 的 基础 ， 是 针对 主动 攻击 的 重要 防御 措施 。 鉴 别 服务 包括 两 类 : 一 是 
对 等 实体 鉴别 服务 ， 这 种 服务 是 在 两 个 开放 系统 (OSI) 同等 层 中 的 实体 建立 连接 和 数据 传 
送 期 间 ， 为 提供 连接 实体 身份 的 鉴别 而 规定 的 一 种 服务 ， 这 种 服务 防止 假冒 或 重 放 以 前 的 


\ ， / 连接， 也 防止 伪造 连接 初始 化 这 种 类 型 的 攻击 。 这 种 鉴别 服务 可 以 是 单 向 的 ， 也 可 以 是 双 


向 的 。 另 一 类 是 数据 源 鉴 别 服务 ， 就 是 某 一 层 向 上 一 层 提供 的 服务 ， 它 用 来 确保 数据 是 由 
对 等 实体 发 出 的 ， 对 上 一 层 提供 数据 源 的 对 等 实体 进行 鉴别 ， 以 防 假冒 。 

2. 访问 控制 

访问 控制 的 目的 是 控制 不 同 用 户 对 信息 资源 的 访问 权限 ， 是 针对 越权 使 用 资源 的 防御 
措施 。 访 问 控制 可 分 为 自主 访问 控制 和 强制 访问 控制 两 类 。 实 现 机 制 可 以 是 基于 访问 控制 
属性 的 访问 控制 表 (或 访问 控制 矩阵 )， 也 可 以 是 基于 安全 标签 、 用 户 分 类 及 资源 分 档 的 多 
级 控制 。 

3， 数 据 保密 

这 种 服务 的 目的 是 保护 网 络 中 各 系统 之 间 交 换 的 数据 ， 防 止 因数 据 被 截获 而 造成 的 泄 
密 。 可 分 为 以 下 几 种 。 

(1) 连接 保密 : 对 某 个 连接 上 的 所 有 用 户 数据 提供 保密 。 

(2) 无 连接 保密 : 对 一 个 无 连接 的 数据 包 的 所 有 用 户 数据 提供 保密 。 

(3) 选择 字段 保密 : 对 一 个 协议 数据 单元 中 的 用 户 数据 的 一 些 经 选择 的 字段 提供 保密 。 

4， 数 据 完整 性 

数据 完整 性 是 针对 非法 算 改 信息 而 设置 的 防范 措施 。 指 的 是 防止 网 上 所 传输 的 数据 被 
修改 、 删 除 、 插 入 、 蔡 换 或 重 发 ， 从 而 保护 合法 用 户 接收 和 使 用 该 数据 的 真实 性 。 

5， 防 止 否认 

接收 方 要 求 发 送 方 保 证 不 能 否认 接收 方 收 到 的 信息 是 发 送 方 发 出 的 信息 ， 而 非 他 人 冒 
名 、 自 改过 的 信息 ; 发送 方 也 要 求 接收 方 不 能 否认 已 经 收 到 的 信息 。 防 止 否认 是 针对 对 方 
进行 否认 的 防范 措施 ， 用 来 证 实 已 经 发 生 过 的 操作 。 


1.3.2 ”安全 机 制 


为 了 实现 上 面 各 种 安全 服务 ， 安 全 体系 结构 提出 了 下 面 8 种 安全 机 制 。 

1， 加 密 机 制 

加 密 是 提供 数据 保密 的 最 常用 方法 。 用 加 密 的 方法 与 其 他 技术 相 结合 ， 可 以 提供 数据 
的 保密 性 和 完整 性 。 除 了 对 话 层 不 提供 加 密 保护 外 ， 加 密 可 在 其 他 各 层 上 进行 。 与 加 密 机 
制 伴随 而 来 的 是 密 钥 管理 机 制 。 

2. 访问 控制 机 制 

访问 控制 根据 实体 的 身份 及 其 有 关 信 息 ， 来 决定 该 实体 的 访问 权限 。 它 可 以 防止 未 经 
授权 的 用 户 非法 使 用 系统 资源 ， 这 种 服务 不 仅 可 以 提供 给 单个 用 户 ， 也 可 以 提供 给 用 户 组 
的 所 有 用 户 。 访 问 控 制 是 一 种 通过 对 访问 者 的 有 关 信 息 进行 检查 来 限制 或 禁止 访问 者 使 用 
资源 的 技术 , 分 为 高 层 访问 控制 和 低层 访问 控制 。 高 层 访问 控制 包括 身份 检查 和 权限 确认 ， 
是 通过 对 用 户口 令 、 用 户 权 限 、 资 源 属性 的 检查 和 对 比 来 实现 的 。 低 层 访 问 控 制 是 通过 对 
通信 协议 中 的 某 些 特征 信息 的 识别 和 判断 ， 来 禁止 或 允许 用 户 访问 的 措施 ， 如 在 路 由 器 上 
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设置 过 滤 规 则 进行 包 过 滤 就 属于 低层 访问 控制 。 

3. 数据 完整 性 机 制 

数据 完整 性 机 制 包括 两 个 方面 ， 即 数据 单元 的 完整 性 和 数据 序列 的 完整 性 。 

数据 单元 的 完整 性 是 指 组 成 一 个 单元 的 一 段 数 据 不 被 破坏 和 增删 自 改 。 通 常 是 把 包括 
有 数字 签名 的 文件 用 HASH 函数 产生 一 个 标记 , 接收 者 在 收 到 文件 后 也 用 相同 的 HASH 函 
数 处 理 一 遍 ， 看 看 产生 的 标记 是 否 相同 就 可 知道 数据 是 否 完整 。 

数据 序列 的 完整 性 是 指 将 发 出 的 数据 分 割 为 按 序列 号 编排 的 许多 单元 ， 在 接收 时 还 能 
按 原来 的 序列 把 数据 串联 起 来 ， 而 不 会 发 生 数据 单元 的 丢失 、 重 复 、 乱 序 、 假 冒 等 情况 。 

4. 数字 签名 机 制 

数字 签名 机 制 是 以 交换 信息 的 方式 来 确认 对 象 身份 的 方法 ， 主 要 解决 以 下 安全 问题 。 

(1) 和 否认: 发 送 者 事后 不 承认 自己 发 送 过 接收 者 提供 的 文件 。 

(2) 伪造 : 有 人 伪造 了 一 份 文 件 ， 却 声称 是 某 人 发 送 的 。 

(3) 冒充 : 冒充 别人 的 身份 在 网 上 发 送 文件 。 

(4) 算 改 : 接收 者 对 收 到 的 信息 进行 部 分 算 改 ， 破 坏 原意 。 

数字 签名 机 制 具有 可 证 实 性 、 不 可 否认 性 、 不 可 伪造 性 和 不 可 重用 性 。 

5。.， 交换 鉴别 机 制 

交换 鉴别 机 制 通过 互相 交换 信息 的 方式 来 确定 彼此 的 身份 。 常 用 的 交换 鉴别 的 技术 有 
以 下 几 种 。 

(1) 口令 : 由 发 送 方 给 出 自己 的 口令 ， 以 证 明 自 己 的 身份 ， 接 收 方 则 根据 口令 来 判断 
对 方 的 身份 。 

(2) 密码 技术 : 发 送 方 和 接收 方 各 自 掌握 的 密 钥 是 成 对 的 。 接 收 方 在 收 到 已 加 密 的 信 
息 时 ， 通 过 自己 掌握 的 密 钥 解密 ， 能 够 确定 信息 的 发 送 者 是 掌握 了 另 一 个 密 钥 的 那个 人 。 
在 许多 情况 下 ， 密 码 技 术 还 和 时 间 标 记 、 同 步 时 钟 、 双 方 或 多 方 握手 协议 、 数 字 签名 、 第 
三 方 公 证 等 相 结合 ， 以 提供 更 加 完善 的 身份 鉴别 。 

(3) 特征 实物 : 例如 IC 卡 、 指 纹 、 声 音频 谱 等 。 

6.， 公证 机 制 

在 一 个 大 型 网 络 中 ， 使 用 这 个 网 络 的 所 有 用 户 并 不 都 是 诚实 可 信 的 ， 同 时 也 可 能 由 于 
系统 故障 等 原因 使 传输 中 的 信息 丢失 、 人 述 到 等 ， 这 很 可 能 引起 谁 承担 责任 的 问题 。 解 决 这 
个 问题 ， 就 需要 有 一 个 各 方 都 信任 的 实体 一 一 公证 机 构 ， 来 提供 公证 服务 ， 仲 裁 出 现 的 问 
题 。 一 旦 引入 公证 机 制 ， 通 信 双 方 进行 数据 通信 时 必须 经 过 这 个 机 构 来 转换 ， 以 确保 公证 
机 构 能 得 到 必要 的 信息 ， 供 以 后 仲裁 。 

7. 业务 流量 填充 机 制 

这 种 机 制 主要 是 对 抗 非法 者 在 线路 上 监听 数据 并 对 其 进行 流量 和 流向 分 析 。 攻 击 者 有 
时 能 够 根据 数据 交换 的 出 现 、 消 失 、 数 量 或 频率 而 提取 有 用 信息 。 数 据 交 换 量 的 突然 改变 

VY 也 可 能 泄露 有 用 信息 。 例 如 当 公司 开始 出 售 它 在 股票 市 场 上 的 份额 时 ， 在 消息 公开 以 前 的 
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准备 阶段 中 ， 公 司 可 能 与 银行 有 大 量 通信 。 因 此 对 购买 该 股票 感 兴趣 的 人 就 可 以 密切 关注 
公司 与 银行 之 间 的 数据 流量 以 了 解 是 否 可 以 购买 。 

流量 填充 机 制 能 够 保持 流量 基本 恒定 ， 因 此 观测 者 不 能 获取 任何 信息 。 流 量 填充 的 实 
现 方法 是 随机 生成 数据 并 对 其 加 密 ， 再 通过 网 络 发 送 。 

8， 路 由 控制 机 制 

路 由 控制 机 制 可 根据 信息 发 送 者 的 申请 选择 安全 路 径 。 这 样 ， 可 以 选择 那些 可 信 的 网 
络 节点 ， 从 而 确保 数据 不 会 暴露 在 安全 攻击 之 下 。 而 且 ， 如 果 数 据 进 入 某 个 没有 正确 安全 
标志 的 专用 网 络 时 ， 网 络 管理 员 可 以 选择 拒绝 该 数据 包 。 


1.4 计算 机 系统 的 实 全 诉 作 


计算 机 系统 的 安全 评估 是 对 系统 安全 性 的 检验 和 监督 。 系 统 安全 评估 包括 了 构成 计算 
机 系统 的 物理 网 络 和 系统 的 运行 过 程 、 系 统 提供 的 服务 以 及 这 种 过 程 与 服务 中 的 管理 、 保 
证 能 力 的 安全 评估 。 一 般 来 说 包括 : 
明确 该 系统 的 薄弱 环节 。 
分 析 利 用 这 些 薄 弱 环 节 进 行 威胁 的 可 能 性 。 
评估 如 果 每 种 威胁 都 成 功 所 带 来 的 后 果 。 
估计 每 种 攻击 的 代价 。 
估算 出 可 能 的 应 对 措施 的 费用 。 
选取 恰当 的 安全 机 制 。 

计算 机 系统 的 安全 评估 可 以 确保 系统 连续 正常 运行 ， 确 保 信息 的 完整 性 和 可 靠 性 ， 及 
时 发 现 系统 存在 的 薄弱 环节 ， 采 取 必 要 的 措施 ， 杜 绝 不 安全 因素 。 另 外 ， 有 了 安全 评估 ， 
不 意味 着 可 以 高 枕 无 忧 ， 因 为 要 在 技术 上 做 到 完全 的 安全 保护 是 不 可 能 的 。 所 以 ， 评 佑 
的 目标 应 该 是 ， 使 攻击 所 花 的 代价 足够 高 ， 从 而 把 风险 降低 到 可 接受 的 程度 。 

由 于 计算 机 系统 用 途 及 应 用 范围 的 不 断 扩 大 ， 不 同 的 环境 对 系统 可 靠 性 、 安 全 性 、 保 
密 性 的 要 求 各 不 相同 ， 这 就 要 求 有 一 个 定量 或 定性 的 安全 评估 标准 。 这 样 的 标准 是 系统 安 
全 评估 的 依据 ， 也 是 计算 机 软 硬 件 生产 三 家 衡量 其 产品 是 否 符合 系统 安全 要 求 的 依据 。 它 
不 仅 有 利于 产品 安全 的 规范 化 , 同时 也 有 利于 保证 产品 安全 的 可 信 性 、 可 更 新 和 可 扩展 性 。 
这 个 安全 评估 标准 的 重要 性 在 于 以 下 几 个 方面 。 

(1) 用 户 可 依据 标准 , 选用 符合 自己 应 用 安全 级 别 的 、 评 定 了 安全 等 级 的 计算 机 系统 ， 
然后 ， 在 此 基础 上 采取 安全 措施 。 

(2) 一 个 计算 机 系统 是 建立 在 相应 的 操作 系统 之 上 的 ， 离开 了 操作 系统 的 安全 ， 也 就 
无 法 保证 整个 计算 机 系统 的 安全 。 所 以 ， 软 件 生产 厂商 应 该 满足 用 户 的 需求 ， 提 供 各 种 安 
全 等 级 的 操作 系统 。 

(3) 建立 系统 中 其 他 部 件 〈 如 数据 库 系统 、 应 用 软件 、 计 算 机 网 络 等 ) 的 安全 评估 标 
准 ， 可 以 使 它们 配合 并 适应 相应 的 操作 系统 ， 以 实现 更 完善 的 安全 性 能 。 
基于 上 述 原因 ， 世 界 各 国都 先后 制定 了 相应 的 计算 机 系统 的 安全 评估 标准 。 \ 《7 
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1.4.1 计算 机 系统 的 安全 标准 


第 一 个 有 关 信 息 技术 安全 评价 的 标准 诞生 于 20 世纪 80 年 代 的 美国 。1983 年 美国 国防 
部 发 布 了 “可 信 计 算 机 评估 标准 ”， 简 称 橘 皮 书 。1985 年 对 此 标准 进行 修订 后 作为 了 美国 
国防 部 的 标准 。20 世纪 90 年 代 ， 由 于 Intemet 技术 广泛 的 应 用 ， 面 对 计算 机 系统 安全 出 现 
的 许多 新 问题 ， 美 国 又 颁布 了 联邦 评测 标准 (FC) 草案 ， 用 以 代替 80 年 代 颁 布 的 橘 皮 书 。 
此 外 ， 美 国 还 与 加 拿 大 和 欧洲 联合 研制 了 CC (信息 技术 安全 评测 通用 标准 )。CC 发 布 的 
目的 是 建立 一 个 各 国都 能 接受 的 通用 安全 评价 准则 。 在 欧洲 ， 英 国 、 荷 兰 和 法 国 带头 开始 
联合 研制 欧洲 共同 的 安全 评测 标准 ， 并 于 1991 年 颁布 ITSEC (信息 技术 安全 标准 )。1993 
年 ， 加 拿 大 发 布 加 拿 大 可 信 计 算 机 产品 评测 标准 ‘CTCPEC)。 在 安全 体系 结构 方面 ，ISO 
制定 了 国际 标准 ISO7498-2-1989《 信 息 处 理 系统 -开放 系统 互 连 -基本 参考 模型 第 2 部 分 : 
安全 体系 结构 》。 这 些 标准 主要 覆盖 以 下 领域 : 

(1) 加 密 标 准 。 定 义 了 加 密 的 算法 、 加 密 的 步骤 和 基本 数学 要 求 。 目 标 是 将 公开 数据 
转换 为 保密 数据 ， 在 存储 载体 和 公用 网 或 专用 网 上 使 用 ， 实 现 数据 的 隐私 性 和 已 授权 人 员 
的 可 读 性 。 

(2) 安全 管理 标准 。 它 阐述 的 是 安全 策略 、 安 全 制度 、 安 全 守则 和 安全 操作 。 和 则 在 为 
一 个 机 构 提 供用 来 制定 安全 标准 、 实 施 有 效 的 安全 管理 时 的 通用 要 素 ， 并 使 跨 机 构 的 交易 
得 以 互信 。 

(3) 安全 协议 标准 。 协 议 是 一 个 有 序 的 过 程 ， 协 议 的 安全 漏洞 可 以 使 认证 和 加 密 的 作 
用 前 功 尽 弃 。 常 用 的 安全 协议 有 卫 的 安全 协议 、 可 移动 通信 的 安全 协议 等 。 

(4) 安全 防护 标准 。 它 的 内 容 包括 防 入 侵 、 防 病毒 、 防 辐射 、 防 干扰 和 物理 隔离 。 也 
包括 存 取 访 问 、 远 程 调用 、 用 户 下 载 等 方面 。 

(5) 身份 认证 标准 。 身 份 认证 是 信息 和 网 络 安全 的 首 关 ， 它 也 同 访问 授权 和 访问 权限 
相连 。 身 份 认证 还 包括 数字 签名 标准 、 数 字 标 准 、 眼 睛 识别 标准 等 。 

(6) 数据 验证 标准 。 包 括 数据 保密 压缩 、 数 字 签 名 、 数 据 正 确 性 和 完整 性 的 验证 。 

(7) 安全 评价 标准 。 其 任务 是 提供 安全 服务 与 有 关机 制 的 一 般 描述 ， 确 定 可 以 提供 这 
些 服务 与 机 制 的 位 置 。 

(8) 安全 审计 标准 。 包 括 对 涉及 安全 事件 的 记录 、 日 志和 审计 ， 对 攻击 和 违规 事件 的 
探测 、 记 录 、 收 集 和 控制 。 

1994 年 ， 国 务 院 发 布 了 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》， 其 中 第 九 
条 规定 “计算 机 信息 系统 实行 安全 等 级 保护 。 安 全 等 级 的 划分 标准 和 安全 等 级 保护 的 具体 
办 法 ， 由 公安 部 会 同 有 关 部 门 制定 ” 公安 部 在 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 
条 例 》 发 布 实施 后 便 着 手 开 始 了 计算 机 信息 系统 安全 等 级 保护 的 研究 和 准备 工作 。 等 级 管 
理 的 思想 和 方法 具有 和 科学、 合理、 规范 以 及 便于 理解 、 掌 握 和 运用 等 优点 。 因 此 ， 对 计算 
机 信息 系统 实行 安全 等 级 保护 制度 , 是 我 国 计 算 机 信息 系统 安全 保护 工作 的 重要 发 展 思想 ， 
对 于 正在 发 展 中 的 信息 系统 安全 保护 工作 更 有 着 十 分 重要 的 意义 。 

Se 目前 ， 计 算 机 系统 安全 评价 标准 的 一 个 发 展 趋势 是 建立 最 基本 、 最 稳定 的 和 最 经 济 的 
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操作 系统 评价 标准 ， 在 此 基础 上 再 制定 其 他 系统 的 安全 评价 标准 。 世 界 各 国 也 正在 为 安全 
标准 的 完善 进行 广泛 的 接触 和 交流 ， 并 使 其 有 了 逐渐 统一 的 趋势 。 


1.4.2 计算 机 系统 的 安全 等 级 


常见 的 计算 机 系统 安全 等 级 划分 有 两 种 : 一 种 是 美国 国防 部 1985 年 发 表 的 评估 计算 机 
系统 安全 等 级 的 “ 橘 皮 书 ”， 将 计算 机 系统 的 安全 划分 为 4 类 7 级 ， 即 A、B3、B2、B1l、 
C2、Cl1、D; 另 一 种 是 依据 我 国 颁布 的 《计算 机 信息 系统 安全 保护 等 级 划分 准则 》 

(GB17859-1999)， 该 准则 是 计算 机 信息 系统 安全 保护 的 法 律 基础 ， 依 据 该 准则 将 计算 机 
安全 等 级 划分 为 5 级 。 

1. “ 橘 皮 书 ” 的 计算 机 系统 安全 等 级 

橘 皮 书 将 计算 机 安全 归结 为 主体 〈 如 用 户 ) 对 客体 〈 如 数据 ) 访问 时 是 否 符合 预定 的 
安全 策略 ， 如 果 符 合计 算 机 系统 就 为 安全 ， 如 能 绕 过 控制 则 为 不 安全 。 在 这 一 思想 的 指导 
下 ， 人 们 将 计算 机 系统 安全 的 研究 集中 于 研制 实现 最 完善 安全 策略 的 控制 器 ， 并 将 计算 机 
安全 等 级 划分 为 4 类 7 级 ， 即 D、C、B、A 级 ， 安 全 级 别 由 低 到 高 。D 级 暂时 不 分 子 级 ; 
C 级 分 为 Cl 和 C2 两 个 子 级 ，C2 比 C1 提供 更 多 的 保护 B 级 分 为 B1、B2、B3 3 个 子 级 ， 
安全 级 别 也 是 由 低 到 高 ，A 级 暂时 不 分 子 级 。 每 级 包括 它 下 级 的 所 有 特性 。 

(1) D 级 〈 非 保护 级 )。 

这 是 可 用 的 最 低 安 全 形式 。 该 标准 说 明 整 个 计算 机 系统 是 不 可 信任 的 ， 对 于 硬件 来 说 ， 
没有 任何 保护 可 用 ;操作 系统 很 容易 被 侵袭 。D 级 计算 机 系统 标准 规定 对 用 户 没 有 验证 ， 
也 就 是 任何 人 都 可 以 自由 地 使 用 该 计算 机 系统 。 系 统 不 要 求 用 户 进 行 登记 (如 要 求 用 户 提 
供用 户 名 ) 或 口令 保护 (如 要 求 用 户 提供 唯一 字符 串 来 进行 访问 )。D 级 的 计算 机 操作 系统 
包括 MS-DOS、Windows 3.x、Windows 95 以 及 Apple 的 System 7.x。 

C2 GL 

C1 级 也 称 自主 安全 保护 系统 ， 系 统 对 硬件 要 求 有 某 种 程度 的 保护 (如 硬件 带 锁 装置 和 
需要 钥匙 才能 使 用 计算 机 等 )， 用 户 必须 登录 到 系统 让 系统 识别 他 们 。C1 级 系统 还 要 求 具 
有 完全 访问 控制 的 能 力 , 应 当 允 许 系统 管理 员 为 一 些 程序 或 数据 设立 访问 许可 权限 Cl 级 防 
护 的 不 足 之 处 在 于 用 户 可 直接 访问 操作 系统 的 根 ， 不 能 阻止 系统 账户 执行 活动 。 

(3 CY 

C2 级 也 称 可 控 安全 保护 级 ， 解 决 了 C1 级 的 某 些 不 足 之 处 并 加 强 了 几 个 安全 特征 。C2 
级 具有 进一步 限制 用 户 执行 某 些 命令 或 访问 某 些 文件 的 能 力 ， 这 不 仅 基于 许可 权限 ， 而 且 
基于 身份 验证 级 别 。 使 用 附加 身份 验证 ， 对 于 一 个 C2 系统 的 用 户 来 说 ， 没 有 根 口令 而 有 
权 执行 系统 管理 任务 是 可 能 的 。 这 使 得 追踪 与 系统 管理 有 关 的 任务 有 了 改观 ， 因 为 是 单独 
的 用 户 执行 了 工作 而 不 是 系统 管理 员 。 

另外 ， 这 种 安全 级 别 要 求 对 系统 加 以 审核 ， 包 括 为 系统 中 发 生 的 每 个 事件 编写 一 个 审 
核 记录 ， 用 来 跟踪 记录 与 安全 有 关 的 所 有 事件 。 常 见 的 C2 级 操作 系统 有 UNIX、XENIX、 
Novell 3.x 或 更 高 版 本 、Windows 2000。 
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(4) Bl 级 。 

B1 级 也 称 标记 安全 保护 级 系统 ,支持 多 级 安全 ， 多 级 是 指 这 一 安全 保护 安装 在 不 同 级 
别 的 系统 中 (如 网 络 、 应 用 程序 、 工 作 站 等 )， 它 对 敏感 信息 提供 更 高 级 的 保护 。 例 如 安全 
级 别 可 以 分 为 解密 、 保 密 和 绝密 级 别 。 

(5) B2 级 。 

这 一 级 别 也 称 为 结构 化 的 保护 。B2 级 安全 要 求 计算 机 系统 中 所 有 对 象 加 标签 ,而且 给 
设备 (如 工作 站 、 终 端 和 磁盘 驱动 器 〉 分 配 安 全 级 别 。 如 用 户 可 以 访问 一 台 工 作 站 ， 但 可 
能 不 允许 访问 含有 重要 资料 的 子 系统 。 

(6) B3 级 。 

B3 也 称 强 制 安 全 区 域 级 ， 系 统 使 用 安装 硬件 的 办 法 来 加 强 域 ， 如 内 存 管理 硬件 用 于 保 
护 安 全 域 免 受 无 授权 访问 或 其 他 安全 域 对 象 的 修改 。 该 级 别 也 要 求 用 户 终端 通过 一 条 可 信 
任 途 径 连 接 到 系统 上 。 其 主要 特征 是 高 抗 渗透 能 力 ， 可 信 恢 复 用 于 绝密 、 机 密 信 息 的 保护 ， 
即使 系统 崩溃 ， 信 息 也 不 会 泄密 。 

(7) A 级。 

也 称 验证 设计 级 ， 这 是 橘 皮 书 中 的 最 高 安全 级 别 。 这 一 级 除了 包括 它 下 面 各 级 的 所 有 
特性 , 还 附加 一 个 安全 系统 受 监视 的 设计 要 求 , 合格 的 安全 个 体 必须 分 析 并 通过 这 一 设计 。 
另外 ， 必 须 采 用 严格 的 形式 化 方法 来 证 明 该 系统 的 安全 性 。 而 且 在 A 级 ， 所 有 构成 系统 的 
部 件 的 来 源 必须 有 安全 保证 ， 这 些 安全 措施 还 必须 担保 在 销售 过 程 中 这 些 部 件 不 受 损害 。 
例如 ， 在 A 级 设置 中 ， 一 个 磁带 驱动 器 从 生产 厂房 直至 计算 机 机 房 都 被 严密 跟踪 。A 级 安 
全 系统 用 于 绝密 级 信息 的 保护 。 

美国 的 计算 机 安全 等 级 评估 标准 虽然 非常 盛行 ， 但 它 只 是 着 重 规定 了 某 些 操 作 系 统 的 
安全 等 级 ， 而 作为 一 个 综合 的 评估 标准 还 显得 不 完善 。 

2. 我 国 的 计算 机 系统 安全 等 级 


实践 证 明 ， 信 息 技术 标准 化 是 搞 好 信息 系统 建设 的 重要 基础 工作 之 一 ， 也 是 推广 和 普 
及 信息 技术 的 基本 前 提 。 

从 2001 年 1 月 1 日 起 ,我 国 实施 强制 性 国家 标准 《计算 机 信息 安全 保护 等 级 划分 准则 》。 
该 准则 是 建立 安全 等 级 保护 制度 、 实 施 安全 等 级 管理 的 重要 基础 性 标准 。 它 将 计算 机 信息 
系统 安全 保护 等 级 划分 为 5 个 等 级 ， 从 低 到 高 依次 是 用 户 自 主 保护 级 、 系 统 审计 保护 级 、 
安全 标记 保护 级 、 结 构 化 保护 级 和 访问 验证 保护 级 。 

(1) 用 户 自主 保护 级 。 

本 级 的 安全 保护 机 制 通过 隔离 用 户 与 数据 ， 使 用 户 具备 自主 安全 保护 能 力 ， 保 护 用 户 
和 用 户 组 信息 ， 避 免 其 他 用 户 对 数据 的 非法 读 写 和 破坏 。 

(2) 系统 审计 保护 级 。 

本 级 的 安全 保护 机 制 除 具备 第 一 级 的 所 有 安全 保护 功能 外 ， 还 要 求 创建 和 维护 访问 的 
审计 跟踪 记录 ， 使 所 有 用 户 对 自己 行为 的 合法 性 负责 。 

(3) 安全 标记 保护 级 。 

本 级 的 安全 保护 机 制 有 系统 审计 保护 级 的 所 有 功能 ， 并 为 访问 者 和 访问 对 象 指定 安全 


、\ 标记 ， 以 访问 对 象 标记 的 安全 级 别 限 制 访问 者 的 访问 权限 ， 实 现 对 访问 对 象 的 强制 保护 。 


(4) 结构 化 保护 级 。 

本 级 安全 机 制 具备 第 三 级 的 所 有 安全 功能 ， 并 将 安全 保护 机 制 划 分 成 关键 部 分 和 非 关 
键 部 分 相 结合 的 结构 ， 其 中 关键 部 分 直接 控制 访问 者 对 访问 对 象 的 存 取 。 本 级 具有 相当 强 
的 抗 渗透 能 力 。 

(5) 访问 验证 保护 级 。 

本 级 的 安全 保护 机 制 具备 第 四 级 的 所 有 功能 ， 并 特别 增设 访问 验证 功能 ， 负 责 仲裁 访 
问 者 对 访问 对 象 的 所 有 访问 活动 。 具 有 极 强 的 抗 渗透 能 

《计算 机 信息 系统 安全 保护 等 级 划分 准则 》 就 是 要 从 安全 整体 上 进行 保护 ， 从 整体 上 、 
根本 上 、 基 础 上 来 解决 等 级 保护 问题 。 要 建立 良好 的 国家 整体 保护 制度 ， 标 准 体系 是 基础 。 

《计算 机 信息 系统 安全 保护 等 级 划分 准则 》 的 配套 标准 分 为 两 类 : 一 是 《计算 机 信息 
系统 安全 保护 等 级 划分 准则 应 用 指南 》， 它 包括 技术 指南 、 建 设 指南 和 管理 指南 ， 二 是 《 计 
算 机 信息 系统 安全 保护 等 级 评估 标准 》， 它 包括 安全 操作 系统 、 安 全 数据 库 、 网 关 、 防 火 墙 、 
路 由 器 和 身份 认证 管理 等 。 目前 , 国家 正在 组 织 有 关 单 位 完善 信息 系统 安全 保护 制度 的 标准 。 


本 阐 小 全 


计算 机 网 络 安全 是 指 保持 网 络 中 的 硬件 、 软 件 系 统 正常 运行 ， 使 它们 不 因 各 种 因素 受 
到 破坏 、 更 改 和 泄露 。 网 络 受到 的 威胁 来 自 于 网 络 的 内 部 和 外 部 两 个 方面 。 

为 实现 开放 系统 互联 网 环境 下 的 信息 安全 ，ISO7498-2 国际 标准 描述 了 实现 OSI 参考 
模型 之 间 的 安全 通信 所 必需 提供 的 安全 服务 和 安全 机 制 。 

计算 机 系统 的 安全 评估 是 对 系统 安全 性 的 检验 和 监督 。 在 我 国 ， 常 见 的 计算 机 系统 安 
全 等 级 的 划分 有 两 种 : 一 种 是 依据 美国 国防 部 发 表 的 评估 计算 机 系统 安全 等 级 的 橘 皮 书 
将 计算 机 安全 等 级 划分 为 4 类 7 级 ; 一 种 是 我 国 颁布 的 《计算 机 信息 系统 安全 保护 等 级 划 
分 准则 》， 将 计算 机 安全 等 级 划分 为 5 级 。 


习 通 

人 填空 题 

1. 计算 机 网 络 安全 是 指 保持 网 络 中 的 硬件 、 软 件 系统 正常 运行 ， 使 它们 不 因 各 种 因素 
受到 、 和 

2. 一 个 安全 的 网 络 体系 至 少 应 包括 3 类 措施 : _ ___、 

3， 网络 安 全 主要 包括 、 、 和 运行 安全 4 个 方面 。 

4. 一 个 安全 的 网 络 具 有 5 个 特征 : 3 

5. 网 络 的 安全 机 制 包括 、 s 5 

和 
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-第 1 章 计算 机 网 络 安全 概述 图 一 


6. 依据 美国 国防 部 发 表 的 评估 计算 机 系统 安全 等 级 的 “ 桶 皮 书 ”， 将 计算 机 安全 等 级 


划分 为 类 级 。 
二 、 选 择 题 
1. 保护 计算 机 网 络 设备 免 受 环境 事故 的 影响 属于 信息 安全 的 
A. 人 员 安 全 B. 物理 安全 C. 数据 安全 D. 操作 安全 
2. 在 以 下 人 为 的 恶意 攻击 行为 中 ， 属 于 主动 攻击 的 是 
A. 身份 假冒 B. 数据 窃听 C. 数据 流 分 析 D. 非法 访问 
3. 有 些 计算 机 系统 的 安全 性 不 高 , 不 对 用 户 进行 验证 , 这 类 系统 安全 级 别 是 5 
A. D B.A (Sl | D.C 
4. 保证 数据 的 完整 性 就 是 。 


A. 保证 网 络 上 传送 的 数据 信息 不 被 第 三 方 监视 
B， 保 证 网 络 上 传送 的 数据 信息 不 被 自 改 
C. 保证 电子 商务 交易 各 方 的 真实 身份 
D. 保证 发 送 方 不 抵赖 曾经 发 送 过 某 数据 信息 
5. 某 种 网 络 安全 威胁 是 通过 非法 手段 取得 对 数据 的 使 用 权 ， 并 对 数据 进行 恶意 地 添加 


和 修改 ， 这 种 安全 威胁 属于 。 
A. 窃听 数据 B. 破坏 数据 完整 性 
C. 拒绝 服务 D. 物理 安全 威胁 
6. 在 网 络 安全 中 ,捏造 是 指 未 授权 的 实体 向 系统 中 插入 伪造 的 对 象 。 这 是 对 
A. 可 用 性 的 攻击 B. 保密 性 的 攻击 
C. 完整 性 的 攻击 D. 不 可 抵赖 性 的 攻击 
三 、 简 答题 
1. 什么 是 网 络 安全 ? 网络 安 全 包括 哪些 方面 ? 
2. 网 络 系统 本 身 存在 哪些 安全 漏洞 ? 
3. 网 络 面临 的 威胁 有 哪些 ? 
4. 常用 的 网 络 安全 技术 有 哪些 ? 
5. 网 络 的 安全 服务 有 哪些 ?安全 机 制 有 哪些 ? 
本 壮实 训 
实 训 使 用 扫描 工具 X-Scan 检测 系统 漏洞 
实 训 目的 
A (1) 掌握 扫描 工具 X-Scan 的 使 用 方法 。 


了 一 等 职业 教育 "十 = 五 " 规 攻 村 @ 


(2) 掌握 使 用 扫描 工具 对 计算 机 系统 进行 安全 漏洞 扫描 的 方法 。 
实 训 环境 


(1) 连 上 Intemet 的 主机 或 局 域 网 主机 。 
(2) Windows XP/2000/2003 系统 。 

操作 环境 
(1) 连 上 Intemet 的 主机 或 局 域 网 主机 。 
(2) Windows NT/2000/XP 系统 。 
(3) X-Scan v3.3 扫描 器 。 


操作 步骤 
第 1 I X-Scan 主 程序 ， 即 可 打开 其 操作 窗口 ， 如 图 1.1 所 示 。 
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一， 系 坊 要求: Windows /20001N/2003 
理论 上 可 运行 于 Windows 罗 系 列 操作 系统 ， 推荐 运行 于 Winiows 2000 以 上 的 Server 版 Bindows 系 纺 。 


击 主 程序 


这 订 
= 要 文 件 ， 可 盏 过 设置 "LANGHWMGPVSELETED” 项 济 行 语 计 切 执 
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站 惟 军 工作 : 
无需 注册 ,无 安装 ( i 和 序 )。 荐 已经 安装 的 fisE 530 寺 各 让 丰 正确， 清寺 二 站 交 和 的 “工具 ” -> 。 
RY i Ci 下 让 才 同和 合计 和 沁 


| 五 ， 图 形 界 面 设 置 项 说 明 : 
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“从 六 件 中 家 取 主 机 列 家” - 选中 该 复 先 框 交 从 文件 中 染 职 答 检 久 主 机 地 址 ,文件 榨 式 到 为 绎 文本 ,每 一行 可 包 侣 浪 立 下 或 域名 ,也 可 色 合 以 “-” 和 “,” 分 村 的 TF 范 转 。 
“全局 量 ” 村 内: 


图 1.1 XX-Scan 主 窗口 


第 2 步 : 执行 “设置 ”一 “扫描 参数 ”命令 ， 即 可 打开 “扫描 参数 ”窗口 。 在 “检测 
范围 ”模块 的 “指定 IP 范围 ”文本 框 中 ， 输 入 要 检测 的 目标 主机 的 域名 或 IP 地 址 ， 也 可 
以 同时 对 多 个 卫 进行 检测 〈 如 输入 “192.168.0.1 一 192.168.0.255” 来 对 处 于 这 个 网 段 的 所 
有 主机 进行 检测 )， 如 图 1.2 所 示 。 

第 3 步 : 在 “全 局 设置 ”模块 中 ， 可 以 对 要 扫描 的 模块 、 端 口 等 进行 设置 。“ 扫 描 模块 ” 
选项 用 于 检测 对 方 主机 的 一 些 服务 和 端口 等 情况 ， 可 以 全 部 选择 或 只 检测 部 分 服务 ， 如 图 1.3 
所 示 。“ 并 发 扫描 ”选项 用 于 设置 检测 时 的 最 大 并 发 主机 和 并 发 线程 的 数量 。“ 扫 描 报 告 ”选项 
用 于 设置 扫描 结束 所 产生 的 报告 文件 名 和 类 型 。 这 里 假设 选择 HTML 类 型 ， 如 图 1.4 所 示 。 
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图 1.2 “扫描 参数 ”窗口 图 1.3 “扫描 模块 ”设置 


在 “其 他 设置 ”选项 中 可 设置 “ 跳 过 没有 响应 的 主机 ”功能 ， 如 图 1.5 所 示 。 如 果 对 
方 禁 止 了 Ping 操作 或 防火 墙 设置 使 其 没有 响应 ， 则 X-Scan 将 会 自动 跳 过 ， 接 着 检测 下 一 
台 主 机 。 如 果 选 中 “无 条 件 扫描 ” 单 选 按钮 ， 则 X-Scan 将 会 对 目标 主机 进行 详细 检测 ， 得 
到 的 结果 相对 详细 准确 ， 但 扫描 时 间 会 延长 ， 对 单个 主机 进行 扫描 一 般 会 采用 这 种 方式 。 


图 1.4 “扫描 报告 ”设置 图 1.5 “其 他 设置 ”设置 
第 4 步 : 在 “插件 设置 ”模块 中 ,可 
以 对 插件 进行 一 些 必要 的 检测 。 a 


在 “端口 相关 设置 ”选项 中 可 自 定义 | OR 
一 些 需要 检测 的 端口 , 检测 方式 分 TCP 或 pr 
SYN 两 种 ，TCP 方式 容易 被 对 方 发 现 ， 但 
准确 性 要 高 一 些 ，SYN 则 相反 ， 如 图 1.6 
所 示 。 

“SNMP 相关 设置 ” 选项 主要 是 针对 
SNMP 信息 的 一 些 检测 设置 。“NETBIOS 
相关 设置 ”选项 是 针对 Windows 系统 
NETBIOS 信息 的 检测 设置 ， 包 括 的 项 目 
有 很 多 ， 只 需要 选择 使 用 的 内 容 即 可 。“ 漏 洞 检测 脚本 设置 ^“CGI 相关 设置 ”和 “字典 文 
件 设 置 ”等 选项 直接 采用 默认 设置 就 可 以 了 。 

\y/ 第 5 步 : 在 设置 好 上 述 模块 后 ， 返 回 到 X-Scan 主 窗口 中 单 击 “ 开 始 ” 按 钮 ， 即 可 出 现 
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图 1.6 “端口 相关 设置 ”设置 


一 个 如 图 1.7 所 示 的 加 载 漏洞 进度 提示 框 。 
第 6 步 : 当 漏 洞 脚本 加 载 完 毕 后 ， 就 可 以 本 一 
进行 漏洞 检测 了 ， 有 具体 检测 过 程 如 图 1.8 所 示 。 
如 果 检 测 到 了 漏洞 ， 则 可 以 在 “漏洞 信息 ” 选 
项 卡 下 对 其 进行 查看 。 


图 1.7 ”加载 漏洞 脚本 提示 框 
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图 1.8 漏洞 检测 过 程 
第 7 步 : 在 扫描 结束 后 ， 将 自动 弹出 漏洞 检测 报告 ， 包 括 漏洞 的 风险 级 别 和 详细 的 信 
息 ， 以 便 对 所 扫描 的 主机 进行 分 析 ， 如 图 1.9 所 示 。 
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> 了 解 威胁 数据 安全 的 各 种 因素 。 
> ”理解 传统 和 现代 的 数据 加 密 技术 及 其 基本 概念 。 
> “理解 数字 签名 的 概念 、 原 理 及 应 用 。 


> 熟练 使 用 对 称 加 密 软件 加 、 解 密 信息 。 
> 熟练 使 用 非 对 称 加 密 软件 加 、 和 解密 信息 。 


密码 学 是 一 门 古老 而 深奥 的 学 科 ， 有 着 悠久 、 灿 烂 的 历史 。 最 早 的 密码 形式 可 以 追溯 
到 4000 多 年 前 ， 古 埃及 人 在 墓志 铭 中 使 用 过 的 类 似 于 象形 文字 的 奇妙 符号 。 从 古 至 今 ， 密 
码 技术 一 直 在 社会 各 个 领域 ， 尤 其 是 军事 、 外 交 、 情 报 等 部 门 广泛 使 用 。 在 信息 化 社会 的 
今天 ， 随 着 计算 机 网 络 和 通信 技术 的 发 展 ， 密 码 技术 更 是 得 到 了 前 所 未 有 的 重视 ， 并 迅速 
普及 和 发 展 起 来 。 它 已 经 成 为 计算 机 安全 研究 的 一 个 主要 方向 。 


2.1 人 完 码 技术 简介 


密码 学 包括 两 部 分 内 容 : 编码 学 和 编码 分 析 学 。 编 码 学 是 通过 编码 技术 将 被 保护 的 信 
息 的 形式 改变 ， 使 得 编码 后 的 信息 除了 指定 的 接收 者 外 其 他 人 无 法 理解 的 一 门 学 问 ， 也 就 
是 加 密 算法 的 研究 和 设计 。 编 码 分 析 学 是 研究 如 何 攻 破 一 个 密码 系统 ， 将 被 加 密 的 信息 恢 
复 ， 也 就 是 密码 破译 技术 。 这 两 部 分 内 容 是 予 与 盾 的 关系 。 密 码 系统 包括 5 个 要 素 : 明文 
信息 空间 、 密 文 信息 空间 、 密 钥 空 间 、 加 密 变换 E 和 解密 变换 D。 图 2.1 给 出 了 密码 系统 
示意 图 。 


加 密 密 钥 解密 密 钥 
图 2.1 密码 系统 示意 图 


明文 : 加 密 前 的 原始 信息 。 

密 文 : 通过 加 密 手段 加 密 后 的 信息 。 

加 密 过 程 :将 明文 进行 数据 转换 成 密 文 的 过 程 。 

解密 过 程 : 利用 加 密 的 逆转 换 将 密 文 恢复 成 明文 的 过 程 。 
密 钥 : 控制 加 密 和 解密 运算 的 符号 序列 。 

密码 系统 理论 上 要 求 使 用 方便 ， 并 且 系统 的 保密 不 依赖 于 对 加 密 算法 和 解密 算法 的 保 
密 ， 而 只 依赖 于 密 钥 的 保密 。 这 样 ， 即 使 密 文 和 对 应 的 明文 被 截获 后 ， 仍 不 容易 进行 解密 
变换 。 

一 个 较为 成 熟 的 密码 体系 ， 其 算法 应 该 是 公开 的 ， 而 密 钥 是 保密 的 。 这 样 使 用 者 简单 
地 修改 密 钥 , 就 可 以 达到 改变 加 密 过 程 和 加 密 结果 的 目的 。 密 钥 通 常 是 由 一 小 串 字 符 组 成 ， 
并 且 可 以 按 需要 频繁 更 换 。 在 加 密 系 统 的 设计 中 ， 密 钥 的 长 度 是 一 个 主要 的 设计 问题 。 一 
个 2 位 数字 的 密 钥 意味 着 有 100 种 可 能 性 ， 一 个 3 位 数字 的 密 钥 意味 着 有 1000 种 可 能 性 ， 
一 个 6 位 数字 的 密 钥 意味 着 有 100 万 种 可 能 性 。 密 钥 越 长 , 加密 系统 被 破译 的 几率 就 越 低 。 

根据 数据 加 密 的 方式 ， 加 密 算法 可 以 分 为 对 称 密 钥 加 密 算法 简称 对 称 算法 ) 和 非 对 
称 密 钥 加 密 算法 (简称 非 对 称 算法 ) 两 种 ， 也 称 为 对 称 数据 加 密 技术 和 非 对 称 数据 加 密 技 
术 。 对 称 算法 是 指 加 密 和 解密 的 过 程 使 用 同一 个 密 钥 ， 它 的 特点 是 运算 速度 非常 快 ， 适 合 
用 于 对 数据 本 身 的 加 解密 操作 。 常 见 的 对 称 算法 有 各 种 传统 的 加 密 算法 、DES 算法 等 。 相 


加 罗网 网 网 


对 于 对 称 算法 来 讲 ， 非 对 称 算法 的 运算 速度 要 慢 得 多 ， 但 是 在 多 人 协作 或 需要 身份 认证 的 、 《7 
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数据 安全 应 用 中 ， 非 对 称 算法 的 运算 具有 不 可 蔡 代 的 作用 。 使 用 非 对 称 算法 对 数据 进行 答 
名 ， 可 以 证 明 数据 发 行者 的 身份 并 保证 数据 在 传输 过 程 中 不 被 算 改 。 在 这 种 加 密 算法 中 有 
两 个 密 钥 ， 一 个 称 为 公 钥 ， 一 个 称 为 私 钥 。 在 加 密 时 ， 公 钥 用 于 加 密 ， 私 钥 用 于 解密 。 这 
种 算法 比较 复杂 ， 常 见 的 非 对称 算 法 有 RSA 算法 、PGP 算法 等 。 非 对 称 算法 通常 用 于 数据 
加 密 ， 由 于 其 速度 较 慢 ， 现 在 多 采用 对 称 算法 与 非 对 称 算法 相 结合 的 加 密 方法 ， 这 样 ， 既 
可 以 有 很 高 的 加 密 强度 ， 也 可 以 有 较 快 的 加 密 速度 。 此 方法 已 广泛 用 于 网 络 的 数据 加 密 传 
送 和 数字 签名 。 通 过 对 传输 的 数据 进行 加 密 来 保障 其 安全 性 ， 已 经 成 为 了 一 项 计算 机 网 络 
系统 安全 的 基本 技术 ， 它 可 以 用 很 小 的 代价 为 数据 信息 提供 相当 大 的 安全 保护 ， 是 一 种 主 
动 的 安全 防御 策略 。 


2.2 ”传统 加 侈 方法 介绍 


加 密 作 为 保障 数据 安全 的 一 种 方式 ， 它 不 是 现在 才 有 的 ， 它 产生 的 历史 相当 久远 ， 它 
的 起 源 要 追溯 到 公元 前 2000 年 了 。 虽然 它 不 是 现在 我 们 所 讲 的 加 密 技 术 , 但 作为 一 种 加 密 
的 概念 ， 确 实 早 在 几 十 个 世纪 前 就 诞生 了 。 当 时 埃及 人 是 最 先 使 用 特别 的 文字 作为 信息 编 
码 的 ， 随 着 时 间 推 移 ， 巴 比 伦 、 美 索 不 达 米 亚 和 希腊 文明 都 开始 使 用 一 些 方法 来 保护 他 们 
的 书面 信息 。 
1， 替代 密码 
在 替代 密码 中 ， 用 一 组 密 文字 母 来 代替 一 组 明文 字母 以 隐藏 明文 ， 但 保持 明文 字母 的 
位 置 不 变 。 
最 古老 的 替代 密码 是 恺 撤 密码 ， 它 用 D 表示 a， 用 王 表 示 b， 用 下 表示 c…… 用 C 表 
示 z， 也 就 是 说 密 文字 母 相 对 明文 字母 左 移 了 3 位 。 为 清楚 起 见 ， 一 律 用 小 写 表示 明文 
用 大 写 表 示 密 文 ， 这 样 明 文 “cipher” 就 变 成 了 密 文 “FLSKHU”。 依 此 类 推 ， 可 以 让 密 文 
字母 相对 明文 字母 左 移 k 位 ， 这样 k 就 成 了 加 密 和 解密 的 密 钥 。 这 种 密码 是 很 容易 破译 的 ， 
因为 最 多 只 需 尝试 25 次 (k=1~25) 即 可 轻松 破译 密码 。 
较为 复杂 一 点 的 密码 ， 是 明文 字母 和 密 文字 母 之 间 的 映射 关系 ， 它 没有 规律 可 循 ， 
比如 将 26 个 英文 字母 随意 映射 到 其 他 字母 上 ， 这 种 方法 称 为 单字 母 表 替 换 ， 其 密 钥 是 对 
应 于 所 有 可 能 的 密 钥 ， 即 使 计算 机 每 微 秒 试 一 个 密 钥 ， 也 需要 1013 年 。 但 事实 上 完全 不 
需要 这 么 做 ， 破 译 者 只 要 拥有 很 少 一 点 密 文 ， 利 用 自然 语言 的 统计 特征 ， 很 容易 就 可 破 
译 密 码 。 破 译 的 关键 在 于 找 各 种 字母 或 字母 组 合 出 现 的 频率 ， 比 如 经 统计 发 现 ， 英 文中 
字母 e 出 现 的 频率 最 高 ， 其 次 是 t、o、a、n、i 等 ， 最 常见 的 两 字母 组 合 依次 为 也 、in、 
er、re 和 an， 最 常见 的 三 字母 组 合 依次 为 the、ing、and 和 ion。 因 此 破译 者 首先 可 将 密 
文中 出 现 频率 最 高 的 字母 定 为 e, 频率 次 高 的 字母 定 为 t…… 然后 猜测 最 常见 的 两 字母 组 、 
三 字母 组 ， 比 如 密 文中 经 常 出 现 tXe， 就 可 以 推测 义 很 可 能 就 是 h， 如 经 常 出 现 thYt， 则 
立 很 可 能 就 是 a 等 。 采 用 这 种 合理 的 推测 ， 破 译 者 就 可 以 逐 句 组 织 出 一 个 试验 性 的 明文 。 
为 了 去 除 密 文中 字母 出 现 的 频率 特征 ， 可 以 使 用 多 张 密码 字母 表 ， 对 明文 中 不 同位 置 
\ 7 
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上 的 字母 用 不 同 的 密码 字母 表 来 加 密 。 比 如 任意 选择 26 张 不 同 的 单字 母 密码 表 ,， 相互 间 排 
定 一 个 顺序 ， 然 后 选择 一 个 简短 易 记 的 单词 或 短语 作为 密 钥 ， 在 加 密 一 条 明文 时 ， 将 密 钥 
重复 写 在 明文 的 上 面 ， 则 每 个 明文 字母 上 的 密 钥 字母 即 指出 该 明文 字母 用 哪 一 张 单字 母 密 
码 表 来 加 密 。 

比如 要 加 密 明文 “please execute the latest scheme”, 密 钥 为 “computer” 则 将 “computer” 
重复 写 在 报 文 上 面 ， 如 图 2.2 所 示 。 


[ce |o [mlp fu 


bl 


e |a S 


图 2.2 把 一 段 明文 用 密 钥 “computer” 进 行 加 密 


于 是 第 1 个 明文 字母 p 用 第 3 张 (假设 a~z 分 别 表示 顺序 1~26) 单字 母 密码 表 加 密 ， 
第 2 个 明文 字母 1 用 第 12 张 单字 母 密码 表 加 密 …… 显 然 ， 同 一 个 明文 字母 因 位 置 不 同 而 在 
密 文 中 可 能 用 不 同 的 字母 来 表示 ， 从 而 消除 了 各 种 字母 出 现 的 频率 特征 。 

虽然 破译 多 字母 密码 表 要 困难 一 些 ， 但 如 果 破译 者 手头 有 较 多 的 密 文 ， 仍 然 是 可 以 破 
译 的 ， 破 译 的 诀窍 在 于 猜测 密 钥 的 长 度 。 首 先 破译 者 假设 密 钥 的 长 度 ， 然 后 将 密 文 按 每 行 
k 个 字母 排 成 若干 行 ， 如 果 猜 测 正确 ， 那 么 同一 列 的 密 文字 母 应 是 用 同一 单字 母 密码 加 密 
的 ， 因 此 同一 列 中 各 密 文字 母 的 频率 分 布 应 与 英文 相同 ， 即 最 常用 的 字母 〈 对 应 明文 字母 
e) 频率 为 13%， 次 常用 的 字母 (对 应 明文 字母 t) 频率 为 9% 等 。 如 果 猜 测 不 正确 ， 则 换 一 
个 进行 重 试 ， 一 旦 猜测 正确 ， 即 可 逐 列 用 破译 单字 母 表 密码 的 方法 进行 破译 。 进 一 步 提 
高 破译 难度 可 以 使 用 比 明文 更 长 的 密 钥 ， 使 上 述 破译 方法 失效 ， 但 这 样 的 密 钥 难以 记忆 ， 
必须 记 在 本 上 ， 这 就 增加 了 失 密 的 可 能 性 。 

2， 换 位 密码 

换 位 有 时 也 称 为 排列 ， 它 不 对 明文 字母 进行 变换 ， 只 是 将 明文 字母 的 次 序 进行 重新 排 
列 。 图 2.3 是 一 种 常用 的 换 位 密码 ， 它 的 密 钥 必须 是 一 个 不 含 重复 字母 的 单词 或 短语 ， 加 
密 时 将 明文 按 密 钥 长 度 截 成 若干 行 排 在 密 钥 下 面 ， 按 照 密 钥 字母 在 英文 字母 表 中 的 先后 顺 
序 给 各 列 进行 编号 ， 然 后 按照 编 好 的 序号 按 列 输 出 明文 即 成 密 文 。 
明文 


pleaseexecutethelatestscheme 


密 文 
PELHEHSCEUTMLCAE 
ATEEXECDETTBSESA 


图 2.3 一 个 换 位 密码 的 例子 


破译 的 第 一 步 是 判断 密码 类 型 ， 检 查 密 文 中 E、T、O、A、N、I 等 字母 的 出 现 频 率 ， 
如 果 符 合 自然 语言 特征 ， 则 说 明 密 文 是 采用 换 位 密码 加 密 的 。 
第 二 步 是 猜测 密 钥 的 长 度 ， 即 列 数 。 在 许多 情况 下， 破译 者 根据 消息 的 上 下 文 ， 常 常 、 |, / 
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可 以 猜测 出 消息 中 可 能 包含 的 单词 或 短语 ， 选 择 的 单词 或 短语 最 好 长 一 些 ， 使 其 至 少 可 能 
跨越 两 行 ， 如 “latestscheme ”。 将 选择 的 单词 或 短语 按照 假定 的 长 度 k 截 成 几 行 ， 由 于 同一 
列 上 相 邻 的 字母 在 密 文中 必 是 相 邻 的 ， 因 此 可 以 将 各 列 上 的 各 种 字母 组 合 记 下 来 ， 在 密 文 
中 搜索 。 比 如 将 “latestscheme” 按 照 假设 的 长 度 8 截 成 两 行 ， 则 相 邻 的 字母 组 合 有 二 、ae、 
tm 和 ee。 假 如 设想 的 k 是 正确 的 ， 则 大 部 分 设想 的 字母 组 合 在 密 文 中 都 会 出 现 ， 如 果 搜 索 
不 到 ， 则 换 一 个 k 再 试 。 通 过 寻找 各 种 可 能 性 ， 破 译 者 常常 能 够 确定 密 钥 的 长 度 。 

第 三 步 是 确定 各 列 的 顺序 。 如 果 列 数 比 较 少 的 话 ， 可 以 逐个 检查 k 个 列 对 ， 查 看 它们 
的 两 字母 组 的 频率 是 否 符合 英文 统计 特征 ， 与 特征 符合 最 好 的 列 对 认为 其 位 置 正确 。 然 后 
从 剩 下 的 列 中 寻找 这 两 列 的 后 继 列 ， 如 果 某 列 和 这 两 列 对 组 合 后 ， 两 字母 组 和 三 字母 组 的 
频率 都 很 好 地 符合 英文 统计 特征 ， 那 么 该 列 就 是 正确 的 后 继 列 。 通 过 同 构 法 也 可 以 找到 它 
们 的 前 趋 列 ， 直 至 最 终 将 所 有 的 列 序 全 部 找到 。 


2.3 ”现代 加 先 救 术 介绍 


2.3.1 DES 算法 


数据 加 密 标准 (Data Encryption Standard，DES) 是 由 IBM 公司 研制 的 加 密 算法 ， 于 
1977 年 被 美国 政府 采用 ， 作 为 商业 和 非 保 密 信息 的 加 密 标准 被 广泛 采用 。 尽 管 该 算法 较 复 


杂 ， 但 易于 实现 。 它 只 对 小 的 分 组 进行 简单 的 逻辑 运算 ， 用 
硬件 和 软件 实现 起 来 都 比较 容易 ,尤其 是 用 硬件 实现 使 该 算 
法 的 速度 更 快 。 


1. DES 算法 的 描述 

DES 算法 将 信息 分 成 64bit 的 分 组 , 并 使 用 56bit 长 度 的 
密 钥 。 它 对 每 一 个 分 组 使 用 一 种 复杂 的 变 位 组 合 、 蔡 换 ， 再 
进行 异 或 运算 和 其 他 一 些 过 程 , 最 后 生成 64 bit 的 加 密 数据 。 


对 每 一 个 分 组 进行 19 步 处 理 ， 每 一 步 的 输出 是 下 一 步 的 输 | 第 D 步 am | 17 步 加 密 
入 。 图 2.4 显示 了 DES 算法 的 主要 步骤 。 
第 一 步 对 64bit 数据 和 56bit 密 钥 进 行 变 位 ;第 2~17 步 
第 18 步 交换 
( 共 16 步 ) 除了 使 用 源 于 原 密 钥 的 不 同 密 钥 外 ， 每 一 步 的 
运算 过 程 都 相同 ， 包 括 很 多 操作 ; 第 18 步 将 前 32bit 与 后 
32bit 交换 ， 最 后 一 步 是 第 一 步 的 逆 过 程 ， 进 行 另 一 个 变 位 。 


图 2.5 显示 了 第 2 一 17 步 每 一 步 的 主要 操作 ， 图 中 的 符 ”图 24 DES 算法 的 主要 步 又 
号 说 明 如 下 。 
(1) C64 一 一 64bit 的 待 加 密 的 信息 。 
(2) KK56 一 一 56bit 的 密 钥 。 
Te (3) L32 一 一 C64 的 前 32bit。 
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(4) R32 一 一 C64 的 后 32bit。 


R32 K56 


通过 变 位 某 些 位 及 复制 其 他 位 而 扩展 为 48bit 对 56bit 串 的 每 个 半 串 执行 循环 左 移 
R48 K48 


X48 


分 成 8 个 6bit 组 
X6 
对 各 个 6bit 组 进行 生成 4bit 的 结果 
X4TX4X4X4TX4R4TXU X4 


组 合成 32bit 串 ， 并 变 位 


X32 


L32 


X32| R32 
C64 
图 2.5 DES 算法 的 加 密 操作 流程 


(5) 其 他 数字 和 字母 组 合 中 的 数字 都 表示 bit 数 ， 如 X48 代表 处 理 过 程 中 48bit 的 中 
间 比 特 串 。 

在 每 一 步 中 ， 密 钥 先 移 位 ， 再 从 56bit 的 密 钥 中 选 出 48bit。 数 据 后 32bit 扩展 为 48bit， 
与 经 过 移 位 和 置换 的 48bit 密 钥 进行 一 次 异 或 操作 ， 其 结果 通过 8 组 (每 组 6bit) 输出 ， 
将 这 64bit 替代 新 的 32bit 数据 ， 再 将 其 变 位 一 次 ， 生 成 32bit 串 X32。X32 与 前 半 部 分 的 
32bit 进行 异 或 运算 ， 其 结果 即 成 为 新 的 后 半 部 分 的 32bit， 原 来 的 后 半 部 分 的 32bit 成 了 新 
的 前 半 部 分 。 将 该 操作 重复 16 次 ， 就 实现 了 DES 的 16 轮 “ 加 密 ” 运 算 。 

经 过 精心 设计 ，DES 的 解密 和 加 密 可 使 用 相同 的 密 钥 和 相同 的 算法 ， 二 者 唯一 的 不 同 
之 处 是 密 钥 的 次 序 相反 。 
2. DES 算法 的 安全 性 


DES 算法 的 加 密 和 解密 密 钥 相同 ， 属 于 一 种 对 称 加 密 技术 。 对 称 加 密 技术 从 本 质 上 说 
都 是 使 用 蔡 代 密码 和 换 位 密码 进行 加 密 的 。 
1977 年 美国 国家 标准 局 公布 了 IBM 公司 研制 的 数据 加 密 标准 。 原 定 该 标准 只 使 用 十 
年 ， 由 于 在 这 期 间 ， 该 加 密 标准 没有 受到 真正 的 威胁 ， 因 此 20 多 年 来 一 直 活 跃 在 国际 保密 
通信 的 舞台 上 。 近 些 年 ， 随 着 计算 机 技术 的 提高 ， 该 标准 已 经 受到 现实 的 威胁 。512bit 的 
密 钥 已 经 能 被 破解 ， 但 是 要 花 很 多 的 时 间 ， 计 算 量 非常 大 ，1024bit 长 度 密 钥 至 今 没 能 被 破 
解 。DES 作为 一 种 高 速 对 称 加 密 算 法 ， 仍 然 具 有 重要 意义 ， 特 别 是 DES〈 密 钥 系 统 ) 和 公 
钥 系统 结合 组 成 混合 密码 系统 。 使 DES 和 公 钥 系统 (如 RSA) 能 够 各 自 扬长 避 短 ， 提 高 了 
加 密 系统 的 安全 和 效率 。 
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3. 密 钥 的 分 发 与 保护 
DES 算法 加 密 和 解密 使 用 相同 的 密 钥 ， 通 信 双 方 进行 通信 前 必须 事先 约定 一 个 密 铀 ， 
这 种 约定 密 钥 的 过 程 称 为 密 钥 的 分 发 或 交换 。 关 键 是 如 何 进 行 密 钥 的 分 发 才能 在 分 发 的 过 
程 中 i ， 如 果 在 分 发 过 程 中 密 钥 被 窃取 ， 再 长 的 密 钥 也 无 济 于 事 。 
常用 的 一 种 交换 密 钥 的 方法 是 “难题 ”的 使 用 。“ 难 题 ” 是 一 个 包含 潜在 的 密 钥 ， 必 
二 其 过 程 如 下 : 
(1) 发 送 方 发 送 n 个 “难题 ” 各 用 不 同 的 密 钥 加 密 。 接 收 方 并 不 知道 解密 密 钥 ， 必 
须 去 破解 。 
(2) 接收 方 随机 地 选择 一 个 “难题 ”并 破解 它 。 因 为 有 插入 在 “难题 ”中 的 模式 ， 使 
接收 方 能 判断 出 是 否 破解 。 
(3) 接收 方 从 “难题 ”中 抽出 加 密 密 钥 , 并 返回 给 发 送 方 一 个 信息 指明 他 破解 “难题 ” 
的 标识 号 。 
(4) 发 送 方 接收 到 接收 方 的 返回 信息 后 ， 双 方 即 按照 此 “难题 ”的 密 钥 进行 加 密 了 。 
人 们 可 能 会 问 ， 其 他 人 也 可 能 截获 这 些 “ 难 题 ” 他 们 也 可 以 去 破解 。 关 键 是 他 们 不 知 
道 接收 方 选择 的 难题 的 标识 号 , 即便 是 他 们 又 截获 了 接收 方 返回 给 发 送 方 的 信息 , 得 到 “ 难 
题 ”的 标识 号 ， 但 等 他 们 破解 以 后 ， 通 信 双 方 的 通信 过 程 可 能 已 经 结束 了 。 
三 重 数据 加 密 算法 
三 重 数据 加 密 算法 〈Three Data Encryption Algorithm，TDEA) 在 1985 年 第 一 次 为 金 
融 应 用 进行 了 标准 化 ， 在 1999 年 合并 到 数据 加 密 标准 中 。 
TDEA 使 用 3 个 密 钥 ， 按 照 加 密 一 解密 一 加 密 的 次 序 执行 3 次 DES 算法 。 加 密 、 解 密 


的 过 程 如 图 2.6 所 示 。 
K2 二 
加 密 
K3 K2, Kl 
K3 区 入 Kl 
区 到 ——| » | 
解密 


图 2.6 TDEA 加 密 、 解 密 过 程 
图 2.6 中 ，P 为 明文 、C 为 密 文 、E 为 使 用 密 钥 Kn 加 密 、D 为 使 用 密 钥 Kn 解密 。 
TDEA 使 用 3 个 不 同 的 密 钥 ， 总 有 效 长 度 为 168bit， 加 强 了 算法 的 安全 性 。 
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2.3.2 ”高 级 加 密 标 准 


高 级 加 密 标 准 (Advanced Encryption Standard，AES) 又 称 Rijndael 加 密 法 ， 是 美国 联 
邦 政府 采用 的 一 种 区 块 加 密 标 准 。 这 个 标准 用 来 蔡 代 原 先 的 DES， 已 经 被 多 方 分 析 且 广 为 
全 世界 所 使 用 。 该 项 目 于 1997 年 启动 ， 并 征集 算法 ， 经 过 五 年 的 甄选 流程 ， 高 级 加 密 标准 
由 美国 国家 标准 技术 研究 院 (NIST) 于 2001 年 11 月 26 日 发 布 于 联邦 信息 处 理 标准 学 报 
上 ， 并 在 2002 年 5 月 26 日 成 为 有 效 的 标准 。2006 年 ， 高 级 加 密 标 准 已 然 成 为 对 称 密 钥 加 
密 中 最 流行 的 算法 之 一 。 

该 算法 为 比利时 密码 学 家 Joan Daemen 和 Vincent Rijmen 所 设计 ， 结 合 两 位 作者 的 名 
字 , 以 Rijndael 命名 , 投稿 高 级 加 密 标 准 的 村 选 流程 并 胜出 (Rijdael 的 发 音 近 于 “Rhinedoll”)。 

AES 是 一 个 迭代 的 、 对 称 密 钥 分 组 的 密码 ， 它 可 以 使 用 128bit、192bit 和 256bit 密 钥 ， 
并 且 用 128bit (16 字 节 ) 分 组 加 密 和 解密 数据 。 与 公共 密 钥 密码 使 用 密 钥 对 不 同 ， 对 称 密 负 
密码 使 用 相同 的 密 钥 加 密 和 解密 数据 。 通 过 分 组 密码 返回 的 加 密 数 据 的 位 数 与 输入 数据 相 
同 。 迭代 加 密使 用 一 个 循环 结构 , 在 该 循环 中 重复 置换 (permutations) 和 蔡 换 (substitutions) 
输入 数据 。 


2.3.3 RSA 算法 


公开 密 钥 加 密 算法 展现 了 密码 应 用 中 的 一 种 轩 新 的 思想 ， 公 开 密 钥 加 密 算法 采用 非 对 
称 加 密 算法 ， 即 加 密 密 钥 和 解密 密 钥 不 同 。 因 此 在 采用 加 密 技 术 进 行 通信 的 过 程 中 ， 不 仅 
加 密 算法 本 身 可 以 公开 ， 甚 至 加 密 用 的 密 钥 也 可 以 公开 (为 此 加 密 密 钥 也 被 称 为 公 钥 )， 而 
解密 密 钥 由 接收 方 自己 保管 (为 此 解密 密 钥 也 被 称 为 私 钥 )， 增 加 了 保密 性 。 

RSA 算法 是 由 R.Rivest、A.Shamir 和 L.Adleman 于 1997 年 提出 的 。RSA 的 取 名 就 来 
自 于 这 3 位 发 明 者 姓 的 第 一 个 字母 。 后 来 ， 他 们 在 1982 年 创办 了 以 RSA 命名 的 公司 RSA 
Data Sectrity Inc. 和 RSA 实验 室 , 该 公司 和 实验 室 在 公开 密 钥 密码 系统 的 研究 和 商业 应 用 推 
广 方面 具有 举足轻重 的 地 位 。 

目前 ，RSA 被 广泛 应 用 于 各 种 安全 和 认证 领域 ， 如 Web 服务 器 和 浏览 器 信息 安全 、 
E-mail 的 安全 和 认证 、 对 远程 登录 的 安全 保证 和 各 种 电子 信用 卡 系统 。 

RSA 算法 使 用 模 运 算 和 大 数 分 解 ， 算 法 的 部 分 理论 基于 数学 中 的 数论 。 下 面 通过 具体 
实例 说 明 该 算法 是 如 何 工作 的 。 为 了 简化 起 见 ， 在 该 实例 中 仅 考 虑 包含 大 写字 母 的 信息 。 
实际 上 该 算法 可 以 推广 到 更 大 的 字符 集 。 

1，RSA 算法 的 加 密 过 程 


RSA 算法 加 密 过 程 的 具体 步 又 如 下 : 
(1) 为 字母 制定 一 个 简单 的 编码 ， 如 A~Z 分 别 对 应 1 一 26。 
(2) 选择 一 个 足够 大 的 数 n， 使 n 为 两 个 大 的 素数 (只 能 被 1 和 自身 整除 的 数 ) P 和 
4 的 乘积 。 为 便于 说 明 ， 在 此 使 用 n=pxqg=3x11=33。 
(3) 找 出 一 个 数 ,与 p-)x(q-1) 互 为 素数 。 此 例 中 选择 大 3， 与 2x10=20 互 为 素数 。 
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数字 大 就 是 加 密 密 钥 。 根 据 数论 中 的 理论 ， 这 样 的 数 一 定 存在 。 

(4) 将 要 发 送 的 信息 分 成 多 个 部 分 ， 一 般 可 以 将 多 个 字母 分 为 一 部 分 。 在 此 例 中 将 每 
一 个 字母 作为 一 部 分 。 若 信息 是 “SUZAN”， 则 分 为 S、U、Z、A 和 NT。 

(5) 对 每 部 分 ， 将 所 有 字母 的 二 进 制 编码 串 接 起 来 ， 并 转换 成 整数 。 在 此 例 中 各 部 分 
的 整数 分 别 为 19、21、26、1 和 14。 

(6) 将 每 个 部 分 扩大 到 它 的 次 方 ， 并 使 用 模 运算 ， 得 到 密 文 。 在 此 例 中 分 别 是 
193mod 33=28，213 mod 33=21，26 mod 33=20，13 mod 33=1 和 14 mod 33=5。 接 收 方 收 到 
的 加 密 信息 是 28、21、20、1 和 5。 

2. RSA 算法 的 解密 过 程 

RSA 算法 的 解密 过 程 的 具体 步骤 如 下 : 

(1) 找 出 一 个 数 使 得 (kxk1) mod ((p-1)x(g-1)) =0， 即 必 太 -1 能 被 (p-1)x(g-1) 整 除 。 
Kk 的 值 就 是 解密 密 钥 。 在 此 例 中 选择 二 7，3x7-1=20，(p-1)x(g-1)=20， 能 被 整除 。 

(2) 将 每 个 密 文 扩 大 到 它 的 次 方 ， 并 使 用 模 n 运算 ， 可 得 到 明文 。 在 此 例 中 分 别 为 
28” mod 33=19，21 mod 33=21，20" mod 33=26，1 mod 33=1 和 5 mod 33=14。 接 收 方 解 
密 后 得 到 的 明文 的 数字 是 19、21、26、1 和 14， 对 应 的 字母 是 S、U、Z、A 和 N。 

上 述 的 加 密 和 解密 过 程 可 以 用 表 2.1 表示 。 

表 2.1 RSA 加 密 和 解密 过 程 
发 送 方 计算 机 接收 方 计算 机 


Ei 
| P? mod 33 | 


| 19 | es | | 12492928512 | 


| 
i 


1 
| uu | m4 | s | nw | wu | 


3. RSA 算法 的 安全 性 

RSA 算法 的 加 密 过 程 要 求 n 和 kk， 解 密 过 程 要 求 n 和 kr。n 和 大 以 及 算法 都 是 公开 的 。 
现在 已 知 n 和 上 大 的 情况 下 是 和 否 能 很 容易 或 很 快 求 出 名, 是 衡量 RSA 算法 安全 性 的 关键 因素 。 

在 已 知 n 和 的 情况 下 求 k 的 关键 是 对 n 的 因 式 分 解 , 找 出 n 的 两 个 素数 p 和 gq。 而 出 
于 算法 的 安全 性 考虑 ， 就 必须 选择 大 的 nm， 也 就 意味 着 密 钥 的 长 度 要 足够 长 。 

密 钥 长 度 越 大 ， 安 全 性 也 就 越 高 ， 但 相应 的 计算 机 速度 也 就 越 慢 。 由 于 高 速 计算 机 的 
出 现 ， 以 前 认为 已 经 很 具有 安全 性 的 512bit 密 钥 长 度 已 经 不 再 满足 人 们 的 需要 。1997 年 
RSA 组 织 公布 当时 密 钥 长 度 的 标准 是 个 人 使 用 768bit 密 钥 ， 公 司 使 用 1024bit 密 钥 ， 而 一 
些 非常 重要 的 机 构 使 用 2048bit 密 钥 。 

4. 对 称 和 非 对 称 数 据 加 密 技术 的 比较 

MY 对 称 数 据 加 密 技术 和 非 对 称 数 据 加 密 技 术 的 区 别 如 表 2.2 所 示 。 
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表 2.2 ”对称 数据 加 密 技术 和 非 对 称 数 据 加 密 技 术 的 区 别 


对 称 数据 加 密 技术 非 对 称 数据 加 密 技术 
密码 个 数 全 2 个 
算法 速度 较 快 较 慢 
寺 称 ， 解 密 密 b x 
算法 对 称 性 sai 不 对 称 ， 解 密 密 钥 不 能 从 加 密 密 钥 中 推算 出 来 


中 推算 出 来 
主要 应 用 领域 | 数据 的 加 密 和 解密 
典型 算法 实例 | DES 等 


对 数据 进行 数字 签名 、 确 认 、 鉴 定 、 密 钥 管理 和 数 
字 封 装 等 
RSA 等 


24 数字 签名 


2.4.1 什么 是 数字 签名 


生活 中 ， 许 多 文件 的 真实 性 和 可 靠 性 最 终 要 根据 是 否 有 亲笔 签名 来 确定 ， 复 印 件 是 无 
效 的 。 如 果 要 用 计算 机 报 文 代替 纸 墨 文件 的 传送 ， 就 必须 找到 数字 签名 来 确定 ， 这 样 ， 数 
字 签 名 就 应 运 而 生 了 。 如 今 ， 数 字 签 名 已 经 在 诸如 电子 邮件 、 电 子 转账 、 办 公 室 自动 化 等 
系统 中 大 量 应 用 了 。 

数字 签名 ， 就 是 只 有 信息 的 发 送 者 才能 产生 别人 无 法 伪造 的 一 段 数 字 串 ， 这 段 数字 串 
同时 也 是 对 信息 的 发 送 者 发 送信 息 真实 性 的 一 个 有 效 证 明 。 

数字 签名 是 非 对称 密 钥 加 密 技 术 与 数字 摘要 技术 的 应 用 。 

数字 签名 文件 的 完整 性 是 很 容易 验证 的 ， 而 且 数字 签名 具有 不 可 抵赖 性 〈 不 需要 笔迹 
专家 来 验证 )。 

简单 地 说 ， 所 谓 数字 签名 就 是 附加 在 数据 单元 上 的 一 些 数据 ， 或 是 对 数据 单元 所 作 的 
密码 变换 。 这 种 数据 或 变换 允许 数据 单元 的 接收 者 用 以 确认 数据 单元 的 来 源 和 数据 单元 的 
完整 性 并 保护 数据 ， 防 止 被 人 《如 接收 者 ) 进行 伪造 。 它 是 对 电子 形式 的 消息 进行 签名 的 
一 种 方法 ， 一 个 签名 消息 能 在 一 个 通信 网 络 中 传输 。 基 于 公 钥 密码 体制 和 私 钥 密码 体制 都 
可 以 获得 数字 签名 ， 主 要 是 基于 公 钥 密码 体制 的 数字 签名 。 包 括 普 通 数字 签名 和 特殊 数字 
签名 。 普 通 数字 签名 算法 有 RSA、ElGamal、Fiat-Shamir、Gnuillou-Quisquarter、Schnorr、 
Ong-Schnorr Shamir 数字 签名 算法 、Des/DSA、 椭 圆 曲 线 数字 签名 算法 和 有 限 自 动机 数字 
签名 算法 等 。 pti et 代理 签名 、 群 签名 、 不 可 否认 签名 、 公 平 盲 签名 、 
门限 签名 、 具 有 消息 恢复 功能 的 签名 等 ， 它 与 具体 应 用 环境 密切 相关 。 

ww wa 
己 的 数字 签名 标准 (DSS )。 
数字 签名 的 主要 功能 是 保证 信息 传输 的 完整 性 、 发 送 者 的 身份 认证 ， 防 止 交易 中 的 抵 
赖 发 生 。 
数字 签名 技术 将 摘要 信息 用 发 送 者 的 私 钥 加 密 ， 与 原文 一 起 传送 给 接收 者 。 接 收 者 只 
NI 
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有 用 发 送 者 的 公 钥 才能 解密 被 加 密 的 摘要 信息 ， 然 后 用 HASH 函数 对 收 到 的 原文 产生 一 个 
摘要 信息 ， 与 解密 的 摘要 信息 对 比 。 如 果 相 同 ， 则 说 明 收 到 的 信息 是 完整 的 ， 在 传输 过 程 
中 没有 被 修改 ， 否 则 说 明 信 息 被 修改 过 ， 因 此 数字 签名 能 够 验证 信息 的 完整 性 。 

数字 签名 是 个 加 密 的 过 程 ， 数 字 签名 验证 是 个 解密 的 过 程 。 


2.4.2 ”数字 签名 的 实现 


数字 签名 可 以 用 对 称 算 法 实现 ， 也 可 以 用 非 对 称 算法 实现 ， 还 可 以 用 报 文摘 要 算法 来 
实现 。 

1. 使 用 对 称 密 钥 密 码 算法 进行 数字 签名 

对 称 密 钥 密 码 算 法 所 用 的 加 密 密 钥 和 解密 密 钥 通常 是 相同 的 ， 即 使 不 同 也 可 以 很 容易 
地 由 其 中 的 一 个 推导 出 另 一 个 。 在 此 算法 中 ， 加 、 解 密 双方 所 用 的 密 钥 都 要 保守 秘密 。 由 
于 其 计算 速度 快 而 广泛 应 用 于 大 量 数据 的 加 密 过 程 中 。 使 用 对 称 密 钥 密码 算法 进行 数字 签 
名 的 加 密 标准 有 DES、RC2、RC4 等 。 

其 签名 和 验证 过 程 为 利用 一 组 长 度 是 报 文 n 的 位 数 的 两 倍 的 密 钥 A 来 产生 对 签名 的 验 
证 信息 ， 即 随机 选择 2n 个 数 B， 由 签名 密 钥 对 这 2n 个 数 B 进行 一 次 加 密 交换 ， 得 到 另 一 
组 2n 个 数 C。 发 送 方 从 报 文 分 组 的 第 一 位 开始 依次 检查 ， 若 为 0 时 ， 取 密 钥 A 的 第 1 位 ， 
若 为 1 则 取 密 钥 A 的 第 2 位 ……' 直 至 报 文 全 部 检查 完毕 。 所 选取 的 个 密 钥 位 形成 了 最 后 
的 签名 。 接 受 方 对 签名 进行 验证 时 ， 也 是 首先 从 第 1 位 开始 依次 检查 报 文 分 组 ， 如 果 它 的 
第 x 位 为 0 时 ， 它 就 认为 签名 中 的 第 x 组 信息 是 密 钥 A 的 第 x 位 ， 若 为 1 则 为 密 钥 A 的 第 
x+1l 位 , 直至 报 文 全 部 验证 完毕 , 就 得 到 了 n 个 密 钥 。 由 于 接收 方 具有 发 送 方 的 验证 信息 C， 
所 以 可 以 利用 得 到 的 n 个 密 钥 检验 验证 信息 ， 从 而 确认 报 文 是 否 是 由 发 送 方 所 发 送 。 

由 于 这 种 方法 是 逐 位 进行 签名 的 ， 所 以 只 要 有 一 位 被 改动 过 ， 接 收 方 就 得 不 到 正确 的 
数字 签名 ， 因 此 其 安全 性 较 好 。 其 缺点 是 签名 太 长 ， 签 名 密 钥 及 相应 的 验证 信息 不 能 重复 
使 用 ， 否 则 极 不 安全 。 

2. 使 用 非 对 称 密 钥 密码 算法 进行 数字 签名 

非 对 称 密 钥 密码 算法 〈 即 公 钥 密码 算法 ) 使 用 两 个 密 钥 : 公开 密 钥 和 私有 密 铀 ， 分 别 
用 于 数据 的 加 密 和 解密 ， 即 如 果 用 公开 密 钥 对 数据 进行 加 密 ， 只 有 用 对 应 的 私有 密 钥 才能 
进行 解密 。 如 果 用 私有 密 钥 对 数据 进行 加 密 ， 则 只 有 用 对 应 的 公开 密 钥 才能 解密 。 使 用 公 

钥 密 码 算法 进行 数字 签名 的 加 密 标 准 有 RSA、DSA、Diffie-Hellman 等 。 
其 签名 和 验证 过 程 为 : 发送 方 首先 用 公开 的 单 向 函数 对 报 文 进行 一 次 变换 ， 得 到 数字 
签名 ， 然 后 利用 私有 密 钥 对 数字 签名 进行 加 密 后 ， 附 在 报 文 之 后 一 同 发 出 。 接 收 方 用 发 送 
方 的 公开 密 钥 对 数字 签名 进行 解密 交换 ， 得 到 一 个 数字 签名 的 明文 。 发 送 方 的 公 钥 可 以 由 
一 个 可 信赖 的 技术 管理 机 构 ， 即 认证 中 心 (CA) 发 布 。 接 收 方 将 得 到 的 明文 通过 单 向 函数 
进行 计算 ， 同 样 得 到 一 个 数字 签名 ， 再 将 两 个 数字 签名 进行 对 比 。 如 果 相 同 ， 则 证 明 签名 
有 效 ， 否 则 无 效 。 
ey 这 种 方法 使 任何 拥有 发 送 方 公开 密 钥 的 人 都 可 以 验证 数字 签名 的 正确 性 。 由 于 发 送 
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方 私有 密 钥 的 保密 性 ， 使 得 接收 方 既 可 以 根据 结果 来 拒 收 该 报 文 ， 也 能 使 其 无 法 伪造 报 文 
签名 及 对 报 文 内 容 进行 修改 ， 原 因 是 数字 签名 是 对 整个 报 文 进行 的 ， 是 一 组 代表 报 文 特 
征 的 定 长 代码 ， 同 一 个 人 对 不 同 的 报 文 将 产生 不 同 的 数字 签名 。 这 就 解决 了 银行 通过 网 
络 传送 一 张 支票 ， 而 接收 方 可 能 对 支票 数额 进行 改动 的 问题 ， 也 避免 了 发 送 方 逃 避 责 任 
的 可 能 性 。 

3. MD5 报 文 摘要 算法 

报 文摘 要 是 最 主要 的 数字 签名 方法 ， 也 称 之 为 数字 摘要 法 或 数字 指纹 法 。 该 数字 签名 
方法 是 将 数字 签名 与 要 发 送 的 信息 紧密 联系 在 一 起 ， 它 更 适合 电子 商务 活动 。 将 一 个 报 文 
内 容 与 签名 结合 在 一 起 ， 比 内 容 和 签名 分 开 传递 ， 有 着 更 强 的 可 信和 度 和 安全 性 。 使 用 报 文 
摘要 算法 进行 数字 签名 的 通用 加 密 标准 有 SHA-1、MD5 等 。 下 面 以 MD5 为 例 简要 说 明 。 

MD5 是 目前 应 用 最 广泛 的 报 文摘 要 算法 ， 可 以 为 每 个 文件 生成 一 个 数字 签名 。MD5 
属于 一 种 HASH 函数 , 其 定义 为 : 算法 以 一 个 任意 长 信息 作为 输入 , 产生 一 个 128bit 的 “ 指 
纹 ” 或 “摘要 信息 ” 

MD5 算法 是 对 需要 进行 摘要 处 理 的 报 文 信息 块 按 512bit 处 理 的 。 首 先 它 对 报 文 信息 进 
行 填充 ， 使 其 长 度 等 于 512 的 倍数 。 填 充 的 方法 是 在 需要 进行 摘要 处 理 的 报 文 信息 块 后 填 
充 64B 长 的 信息 长 度 ， 然 后 再 用 首位 为 1， 后 面 全 为 0 的 信息 进行 填充 。 再 对 信息 报 文 进 
行 处 理 ， 每 次 处 理 512bit， 每 次 进行 4 轮 (每 轮 16 步 ， 共 64 步 ) 的 信息 变换 处 理 ， 每 次 
输出 结果 为 128bit， 然 后 把 前 一 次 的 输出 结果 作为 下 一 次 信息 变换 的 输入 初 值 ， 这 样 最 后 
输出 一 个 128bit 的 HASH 摘要 结果 。 目 前 MD5 被 认为 是 最 安全 的 HASH 算法 之 一 ， 已 经 
在 很 多 应 用 中 被 当成 标准 来 使 用 。 

MD5 提供 了 一 种 单 向 的 HASH 函数 ,是 一 种 校 验 工 具 。 它 将 一 个 任意 长 的 字 串 作为 输 
入 ， 产 生 一 个 128bit 的 “ 报 文摘 要 ”， 附 在 信息 报 文 后 面 ， 以 防 报 文 被 算 改 。MDS5 被 认为 
对 两 个 不 同 报 文 产生 相同 的 报 文摘 要 是 不 可 计算 的 ， 并 且 对 一 个 已 给 定 的 报 文摘 要 ， 对 另 
一 个 报 文 产生 同样 的 报 文摘 要 也 是 不 可 计算 的 。 

在 计算 机 安全 中 , MDS5 算法 是 非常 有 效 的 一 种 对 付 特 洛 伊 木 马 程序 的 工具 。 通过 MD5 
算法 计算 每 个 文件 的 数字 签名 可 以 检查 文件 是 否 被 更 换 或 是 否 与 原来 一 致 。 


2.4.3 数字 签名 的 发 展 方向 


1. 数字 签名 的 不 足 

在 实际 应 用 中 ， 数 字 签 名 还 存在 一 些 不 足 之 处 。 

(1) 数 字 签 名 下 需 相关 法 律 条 文 的 支持 。 需 要 立法 机 构 对 数字 签名 技术 有 足够 的 重视 ， 
并 且 在 立法 上 加 快 脚步 ， 迅 速 制定 有 关 法 律 ， 以 充分 实现 数字 签名 具有 的 特殊 鉴别 作用 ， 
有 力 地 推动 电子 商务 以 及 其 他 网 上 事务 的 发 展 。 

(2) 如 果 发 送 方 的 信息 已 经 进行 了 数字 签名 ， 那 么 接收 方 就 一 定 要 有 数字 签名 软件 ， 
这 就 要 求 软件 具有 很 高 的 普及 性 。 

(3) 假设 某 人 发 送信 息 后 ， 被 取消 了 原 有 数字 签名 的 权限 ， 以 往 发 送 的 数字 签名 在 鉴定 
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时 只 能 在 取消 确认 列表 中 找到 原 有 确认 信息 ， 这 样 就 需要 鉴定 中 心 结合 时 间 信息 进行 鉴定 。 

(4) 数字 签名 中 的 基础 设施 ， 如 鉴定 中 心 、 在 线 存 取 数 据 库 等 的 建设 费用 ， 可 能 会 影 
响 到 这 项 技术 的 全 面 推广 。 

2， 数 字 签 名 的 发 展 方向 

首先 ， 现 有 的 一 些 基于 优良 算法 的 数字 签名 还 会 有 很 大 的 发 展 ， 如 基于 大 整数 因子 分 
解难 题 的 RSA 算法 和 基于 椭圆 曲线 上 离散 对 数 计算 难题 的 ECC 算法 等。 

随 着 加 密 、 生 成 和 验证 数字 签名 的 工具 的 不 断 完善 ， 会 建立 广泛 的 协作 机 制 来 支持 数 
字 签 名 ， 这 将 是 Web 发 展 的 目标 。 确 保 数据 保密 性 、 数 据 完整 性 和 不 可 否认 性 才能 保证 电 
子 商 务 的 安全 交易 。 今 后 ， 与 数字 签名 有 关 的 复杂 认证 能 力 将 像 现在 应 用 环境 中 的 口令 保 
护 一 样 ， 直 接 做 到 操作 系统 环境 、 信 息 传递 系统 及 Intemet 防火 墙 。 

数字 签名 作为 电子 商务 的 应 用 技术 ， 将 越 来 越 受 到 人 们 的 重视 。 其 中 涉及 到 的 关键 技 
术 也 很 多 ， 并 且 有 很 多 新 的 协议 ， 如 网 上 交易 安全 协议 SSL、SET 都 会 涉及 到 数字 签名 ， 
究竟 使 用 哪 种 算法 、 哪 种 HASH 函数 以 及 数字 签名 管理 ， 在 通信 实体 与 可 能 有 的 第 三 方 之 
间 使 用 协议 等 问题 都 可 以 作为 新 的 课题 。 相 信 ， 数 字 签 名 的 前 景 将 越 来 越 广阔 。 


2.5 佬 钢管 理 


由 于 加 密 算法 的 分 开 ， 对 明文 的 保密 将 主要 依赖 于 密 钥 。 一 旦 密 钥 丢失 或 出 错 ， 不 仅 
合法 用 户 不 能 提取 信息 ， 而 且 可 能 会 导致 非法 用 户 窃 取信 息 。 所 以 ， 密 钥 的 安全 管理 在 信 
息 系统 安全 中 是 极为 重要 的 。 它 不 仅 会 影响 系统 的 安全 性 ， 还 会 涉及 到 系统 的 可 靠 性 、 有 
效 性 和 经 济 性 。 

密 钥 管理 包括 密 钥 的 产生 、 存 储 、 装 入 、 分 配 、 保 护 、 丢 失 、 销 毁 等 内 容 。 其 方法 
的 选取 是 基于 参与 者 对 使 用 该 方法 的 环境 所 作 的 评估 之 上 。 对 环境 的 考虑 包括 要 进行 防 
范 所 使 用 的 技术 、 提 供 的 密码 服务 的 体系 结构 与 定位 ， 以 及 密码 服务 提供 者 的 物理 结构 
与 定位 。 

1， 对 称 密 铀 管理 

对 称 加 密 是 基于 共同 保守 秘密 来 实现 的 。 采 用 对 称 加 密 技术 的 贸易 双方 必须 要 保证 采 
用 的 是 相同 的 密 钥 ， 要 保证 彼此 密 钥 的 交换 是 安全 可 靠 的 ， 同 时 还 要 设 定 防止 密 负 港 密 和 
更 改 密 钥 的 程序 。 这样, 对 称 密 钥 的 管理 和 分 发 工作 将 变 成 一 件 潜在 危险 的 和 繁琐 的 过 程 。 
通过 公开 密 钥 加 密 技术 实现 对 称 密 钥 的 管理 使 相应 的 管理 变 得 简单 和 更 加 安全 ， 同 时 还 解 
决 了 纯 对 称 密 钥 模 式 中 存在 的 可 靠 性 问题 和 鉴别 问题 。 贸易 方 可 以 为 每 次 交换 的 信息 (如 每 次 
的 EDI 交换 ) 生成 唯一 一 个 对 称 密 钥 并 用 公开 密 钥 对 该 密 钥 进行 加 密 , 然后 再 将 加 密 后 的 密 铀 
和 用 该 客 钥 加 密 的 信息 〔 如 EDI 交换) 一 起 发 送 给 相应 的 贸易 方 。 由 于 每 次 信息 交换 都 对 应 生 
成 了 唯一 一 个 密 钥 , 因此 各 贸易 方 就 不 再 需要 对 密 钥 进 行 维护 和 担心 密 钥 的 泄露 或 过 期 。 这 种 


方式 的 另 一 优点 是 ,即使 泄露 了 一 个 密 钥 也 只 将 影响 一 笔 交 易 ， 而 不 会 影响 到 贸易 双方 之 间 所 
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有 的 交易 关系 。 这 种 方式 还 提供 了 贸易 伙伴 间 发 布 对 称 密 钥 的 一 种 安全 途径 。 

2. 公开 密 钥 管理 /数字 证 书 

贸易 伙伴 间 可 以 使 用 数字 证 书 (公开 密 钥 证 书 ) 来 交换 公开 密 钥 。 国际 电信 联盟 (ITU) 
制定 的 标准 X.509 对 数字 证 书 进行 了 定义 ， 该 标准 等 同 于 国际 标准 化 组 织 (ISO ) 与 国际 电 
工 委员 会 (IEC) 联合 发 布 的 ISO/IEC 9594-8: 195 标准 。 数 字 证 书 通常 包含 有 唯一 标识 证 
书 所 有 者 〈 即 贸易 方 ) 的 名 称 、 唯 一 标识 证 书 发 布 者 的 名 称 、 证 书 所 有 者 的 公开 密 钥 、 证 
书 发 布 者 的 数字 签名 、 证 书 的 有 效 期 及 证 书 的 序列 号 等 。 证 书 发 布 者 一 般 称 为 证 书 管理 机 
构 (CA)， 它 是 贸易 各 方 都 信赖 的 机 构 。 数 字 证 书 能 够 起 到 标识 贸易 方 的 作用 ， 是 目前 电 
子 商务 广泛 采用 的 技术 之 一 。 

3. 密 钥 管 理 相 关 的 标准 规范 

目前 国际 有 关 的 标准 化 机 构 都 在 着 手 制定 关于 密 钥 管理 的 技术 标准 规范 。ISO 与 IEC 
下 属 的 信息 技术 委员 会 JTC1) 已 起 草 了 关于 密 钥 管理 的 国际 标准 规范 。 该 规范 主要 由 3 
部 分 组 成 : 一 是 密 钥 管理 框架 ， 二 是 采用 对 称 技术 的 机 制 ， 三 是 采用 非 对 称 技术 的 机 制 。 
该 规范 现 已 进入 到 国际 标准 草案 表决 阶段 ， 并 将 很 快 成 为 正式 的 国际 标准 。 


2.6 非 对 称 加 佬 款 件 PGP 


PGP (Pretty Good Privacy) 是 一 种 操作 简单 、 使 用 方便 、 普 及 程度 较 高 的 基于 非 对 称 
加 密 算法 RSA 公 钥 体系 的 邮件 加 密 软件 。 PGP 不 但 可 以 对 电子 邮件 加 密 ， 防 止 非 授权 者 阅 
读 信件 ， 还 能 对 电子 邮件 附加 数字 签名 ， 使 收 信人 能 明确 了 解 发 信人 的 真实 身份 ， 也 可 以 
在 不 需要 通过 任何 保密 渠道 传递 密 钥 的 情况 下 ， 使 人 们 安全 地 进行 保密 通信 。 

PGP 创造 性 地 把 RSA 非 对 称 加 密 算法 的 方便 性 和 传统 加 密 体 系 结合 起 来 , 在 数字 签名 
和 密 钥 认证 管理 机 制 方面 采用 了 无 缝 结合 的 巧妙 设计 ， 同 时 具有 良好 的 人 机 工程 设计 。 它 
功能 强大 ， 有 很 快 的 速度 ， 而 且 是 完全 免费 的 。 另 外 ，PGP 还 可 以 用 来 加 密 各 种 类 型 的 文 
件 ， 这 些 使 其 几乎 成 为 最 为 流行 的 公 钥 加 密 软 件 包 。 

PGP 实际 上 是 采用 IDEA 传统 加 密 算法 来 加 密 的 ， 而 不 是 RSA 本 身 。 原 因 是 RSA 算 
法 计算 量 极 大 ， 在 速度 上 不 适合 加 密 大 量 数据 ， 而 IDEA 的 加 解密 速度 比 RSA 要 快 得 多 ， 
所 以 实际 上 PGP 是 以 一 个 随机 生成 的 密 钥 ， 用 IDEA 算法 对 明文 加 密 ， 然 后 再 用 RSA 算 
法 对 该 密 钥 进行 加 密 。 收 件 人 同样 是 用 RSA 解密 出 这 个 随机 密 钥 ， 再 用 IDEA 解密 邮件 本 
身 。 这 样 的 链 式 加 密 就 做 到 了 既 有 RSA 体系 的 保密 性 ， 又 有 IDEA 算法 的 快捷 性 。 

用 PGP 进行 数字 签名 的 过 程 为 : 发 送 方 用 自己 的 私 钥 将 128bit 的 特征 值 加 密 ， 附 加 在 
电子 邮件 后 ， 再 用 接收 方 的 公 钥 将 整个 邮件 加 密 。 在 这 里 特别 要 注意 次 序 ， 如 果 先 加 密 再 
签名 的 话 ， 别 人 可 以 将 签名 去 掉 后 加 上 自己 的 签名 ， 从 而 算 改 签名 。 密 文 收 到 以 后 ， 接 收 
方 用 自己 的 私 钥 将 邮件 解密 ， 得 到 发 送 方 的 原文 和 签名 ， 然 后 用 PGP 从 原文 计算 出 一 个 
128bit 的 特征 值 来 和 用 发 送 方 的 公 钥 解密 签名 所 得 到 的 数 进行 比较 ， 如 果 符 合 就 说 明 这 份 
邮件 确实 是 发 送 方 寄 来 的 。 这 样 就 使 两 个 安全 性 要 求 都 得 到 了 解决 。 ey 
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PGP 还 可 以 只 签名 而 不 加 密 , 这 适用 于 公开 发 表 声明 时 ,声明 人 为 了 证 实 自己 的 身份 ， 
可 以 用 自己 的 私 钥 签 名 。 这 样 就 可 以 让 收 件 人 能 确认 发 信人 的 身份 ， 也 可 以 防止 发 信人 抵 
赖 自己 的 声明 。 这 一 点 在 商业 领域 有 很 大 的 应 用 前 途 ， 它 可 以 防止 发 信人 抵赖 和 信件 被 中 


本 重修 仑 


加 密 技术 是 保护 数据 安全 的 一 种 最 常用 的 技术 。 数 据 加 密 技术 分 为 两 种 : 传统 加 密 方 
法 和 现代 加 密 方法 。 传 统 加 密 方法 的 典型 代表 是 蔡 代 密 码 和 换 位 密码 技术 。 现 代 加 密 方法 
的 典型 代表 是 RSA 和 DES 加 密 方法 。 

数字 签名 是 加 密 技 术 的 典型 应 用 ， 用 来 保证 信息 传输 过 程 中 信息 的 完整 性 和 提供 信息 


发 送 者 的 身份 认证 。 
习 通 
一 、 填 空 题 
1. DES 使 用 的 密 钥 长 度 是 位 。 
2. AES 可 以 使 用 和 位 密 钥 ， 并 且 用 位 分 组 加 
密 和 解密 数据 。 
2. 有 一 类 加 密 类 型 通常 用 于 数据 完整 性 检验 和 身份 验证 , 例如 计算 机 系统 中 的 口令 就 
是 利用 算法 加 密 的 。 
3. 认证 技术 主要 解决 网 络 通信 进程 中 通信 双方 认可 。 
4. 电子 商务 中 的 数字 签名 通常 利用 公开 密 钥 加 密 方 法 实现 ,其 中 发 送 者 签名 使 用 的 密 
钥 为 发 送 者 的  _。 
5. 数字 签名 是 用 于 确认 发 送 者 身份 和 消息 完整 性 的 一 个 加 密 的 
二 、 选 择 题 
1. 如 果 使 用 恺 撤 密 码 ， 在 密 钥 为 4 时 attack 的 密 文 为 
A. ATTACK B. DWWDFN C. EXXEGO D. FQQFAO 
2. 按 密 钥 的 使 用 个 数 ， 密 码 系统 可 以 分 为 局 
A. 置换 密码 系统 和 易 位 密码 系统 B. 分 组 密码 系统 和 序列 密码 系统 
C. 对 称 密码 系统 和 非 对 称 密码 系统 D. 密码 学 系统 和 密码 分 析 学 系统 
3. 计算 机 网 络 系统 中 广泛 使 用 的 DES 算法 属于 8 


ee A. 非 对 称 加 密 B. 对 称 加 密 C. 不 可 道 加 密 D. 公开 密 钥 加 密 
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4. 在 公 钥 密码 体系 中 ， 下 面 是 可 以 公开 的 。 


I. 加 密 算 法 II. 公 钥 II， 私 钥 
A. 仅 I B. 仅 工 C. 仅 I 和 I D. 全 部 
5. 关于 数字 签名 ， 下 面 说 法 错误 的 是 


A. 数字 签名 技术 能 够 保证 信息 传输 过 程 中 的 安全 性 
B. 数字 签名 技术 能 够 保证 信息 传输 过 程 中 的 完整 性 
C. 数字 签名 技术 能 够 对 发 送 者 的 身份 进行 认证 

D. 数字 签名 技术 能 够 防止 交易 中 抵赖 的 发 生 


、 简 答题 


简 述 密码 技术 的 概念 。 

简要 描述 传统 的 加 密 方法 。 

公开 密 钥 体 制 RSA 算法 的 主要 特点 是 什么 ? 
说 明 数字 签名 实现 的 过 程 。 
.怎样 进行 密 钥 的 管理 ? 


让 
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本 语 实 训 


实 训 1 使 用 Apocalypso 加 密 软 件 加 、 解 密 文 件 


实 训 目 的 


(1) 了 解 对 称 加 密 技术 的 基本 原理 。 
(2) 熟练 使 用 Apocalypso 加 密 软 件 加 、 解 密 文 件 。 


实 训 环境 

Windows XP/2000/2003 操作 系统 ，Apocalypso 加 密 软 件 。 

操作 步骤 

第 1 步 : 在 桌面 上 创建 一 个 文本 文件 ， 取 名 为 texttxt， 并 输入 文字 “对 称 加 密实 验 ” 
如 图 2.7 所 示 。 


第 2 步 : 打开 Apocalypso 软件 ， 准 备 对 文件 进行 加 密 ， 如 图 2.8 所 示 。 
第 3 步 : 单 击 Blowfish Encryption 按钮 ， 进 入 到 文件 加 、 解 密 界面 ， 如 图 2.9 所 示 。 
第 4 步 : 在 File to be Encrypter/Decrypted 文本 框 中 选择 要 加 密 的 文件 “texttxt”， 如 
图 2.10 所 示 。 
第 5 步 : 在 Output File 文本 框 中 选择 加 密 后 的 文件 存放 位 置 ， 并 将 加 密 后 生成 的 文件 
私 名 为 text2.txt， 如 图 2.11 所 示 。 
第 6 步 : 在 Enter Passphrase here 文本 框 中 输入 加 、 解 密 的 密码 “aa”， 如 图 2.12 所 示 ; \ 人 
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f Encrypt File 按钮 ， 文 件 开 始 加 密 ， 直 到 出 现 加 密 结 束 提 示 ， 如 图 2.13 所 示 。 


text.trt - 记事 本 
文件 中 所 几 四 交 式 们 可 看 中 大助 吕 
对 称 加 密 医 驻 


图 2.7 创建 一 个 文本 文件 
salypso 一 Blowfish Encryptio 辐 
Fi 
| |=| 
Dutput File 


Mugen rn 


图 2.9 进入 到 文件 加 、 解 密 界面 图 2.10 选择 要 加 密 的 文件 “texttxt” 


Output Fie: 
C:\Documents and Settingswdministrator 桌 吓人 | 


Nu a 


ngs\Administrator\ 案 el| 


Mure aR 


| 


图 2.11 选择 加 密 后 的 文件 存放 的 位 置 图 2.12 输入 加 、 解 密 的 密码 
第 7 步 : 找到 加 密 后 文件 “text2.txt”， 双 击 打 开 ， 看 到 文档 内 容 为 乱码 ， 说 明 已 被 加 


密 ， 如 图 2.14 所 示 。 
第 8 步 : 解密 。 同样 单 击 Blowfish Encryption 按钮 ， 进 入 到 文件 加 、 解 密 界面 。 在 File 


~ 
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to be Encrypter/Decrypted 文本 框 中 选择 要 解密 的 文件 “text2.txt”， 在 Output File 文本 框 中 
选择 解密 后 的 文件 存放 位 置 ， 并 将 解密 后 生成 的 文件 取 名 为 text3.txt。 在 Enter Passphrase 
here 文本 框 中 输入 加 、 解 密 的 密码 “aa”， 然 后 单 击 Decrypt File 按钮 ， 文 件 开 始 解 密 ， 如 
到 2.15 所 示 ， 直 到 出 现 解密 结束 提示 ， 如 图 2.16 所 示 。 

外 texrt2.txt - 记事 本 


文件 中， 筷 得 四 格式 中) 查看 帮助 0 
?8? 议 P 腊 5 站 奔 春 且 da19 需 ?等 9 和 啉 E 散 ?9 


Information 区 


File Encrypted 


图 2.13 加密 结 束 提示 图 2.14 加 密 后 的 文件 “text2.txt” 


Apocalypso — Blowfish Encryption 


Filetobe Encrypted | 
CnDocuments and SettingsAdministrator 桌 有 己 | 


i 
C:\Documents and SettingsAdministrator 保 有 | 


Nee Rw Inforaation 。” 医 ] 


File Decrypted 


图 2.15 解密 文件 图 2.16 解密 结束 提示 
第 9 步 : 找到 解密 文件 后 的 文件 “text3.txt”， 双 击 打开 ， 原 密 文 已 恢复 为 明文 ， 说 明 
文件 已 被 解密 ， 如 图 2.17 所 示 。 


胞 text3.txt - 记事 本 
文件 中 编辑 全 ) 格式 中 ) 查看 QW) 帮助 0 
财 称 加 密实 验 


图 2.17 解密 后 的 文件 
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实 训 2 数据 加 密 软 件 PGP 的 使 用 


实 训 目 的 

(1) 掌握 PGP 软件 的 原理 。 

(2) 掌握 利用 PGP 软件 加 密 数 据 的 方法 。 

实 训 环境 

(1) 一 台 连 上 Intemet 的 计算 机 。 

(2) Windows XP/2000/2003 操作 系统 ，PGP 软件 。 

操作 步骤 

1. 下 载 并 安装 PGP 软件 

PGP 是 国外 的 一 个 免费 英文 软件 ， 一 般 专业 软件 下 载 网 站 都 提供 下 载 。 以 PGP 8.0.1 
为 例 ， 经 解压 缩 后 ， 双 击 PGP 8.0.1 安装 文件 ， 出 现 如 图 2.18 所 示 的 画面 。 

按照 提示 ， 依 次 单 击 Next 按钮 ， 即 可 安装 成 功 。 重 新 启动 计算 机 后 ， 可 在 屏幕 上 显示 
PGP 活动 栏 。 

如 图 2.19 所 示 ，PGP 活动 栏 上 的 按钮 从 左 到 右 依次 是 PGPkey〈 密 钥 管 理 )、Encrypt 
(加 密 )、Sign (数字 签名 )、Encrypt (加 密 与 签名 )、Dectypt/Verify (解密 /验证 )、Wipe ( 清 
除 )、Freespace Wipe( 自 由 空间 清除 )。 


狼 pGpmail |D| xl 


图 2.18 PGP 安装 图 2.19 PGP 活动 栏 
2 建立 一 对 密 钥 的 步骤 
单 击 PGPkey 按钮 ， 然 后 依次 完成 以 下 操作 : 
(1) 根据 密 钥 生成 向 导 ， 逐 屏 选择 密 钥 的 类 型 、 密 钥 长 度 、 密 钥 期 限 等 。 
(2) 设置 私 钥 传 递 词 ， 以 保护 私 钥 。 
(3) 可 以 根据 需要 决定 是 否 把 密 钥 送 到 默认 的 服务 器 上 。 
(4) 保存 密 钥 。 
3 加密 步骤 
\ 7 为 了 有 一 个 实验 对 象 ， 先 在 C 盘 下 建立 一 个 文件 “PGPexecise.doc”。 
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(1) 单 击 Encrypt 按钮 , 在 打开 的 Select Files 对 话 框 中 选择 用 户 将 要 进行 加 密 的 文件 ， 
选 定 后 单 击 “ 打 开 ” 按 钮 。 

(2) 在 PGP key Selection Dialog 对 话 框 中 选择 合作 方 的 密码 。 

(3) 输入 自己 的 私 钥 ， 将 PGPexecise.doc 转换 为 .pgp 文件 。 


4 解密 步 对 
(1) 接收 者 输入 自己 的 密 铀 ， 即 可 解密 文件 。 
(2) 在 PGPLog 对 话 框 中 查看 文件 的 签名 状态 。 


nt 
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第 3 章 
网 络 通 信 协 议 与 安全 


了 解 TCP/IP 协议 以 及 工作 原理 。 
了 解 以 太 网 的 工作 原理 。 

理解 使 网 络 通信 不 安全 的 因素 。 
熟悉 网 络 协议 存在 的 安全 问题 。 


> 熟练 应 用 常见 的 网 络 通信 协议 。 
> 能够 解决 常见 网 络 协议 存在 的 安全 问题 。 


计算 机 网 络 的 基础 是 网 络 通信 协议 ， 保 证 通信 协议 的 安全 对 计算 机 网 络 的 安全 有 重 
的 意义 。 


0 
瘟 


3.1 TCP/IP 协议 简 介 


TCP/IP 协议 是 先 于 OSI 模型 开发 的 ， 并 不 符合 OSI 标准 。TCP/IP 模型 是 于 1974 年 首 
先 定 义 的 ， 而 设计 标准 的 制定 则 在 20 世纪 80 年 代 后 期 完成 。TCP/IP 实际 上 是 由 一 组 协议 
所 组 成 ， 是 当前 Intemet 所 使 用 的 最 流行 的 网 络 “ 标 准 ” 虽然 它 不 是 国际 标准 ， 但 由 它 所 
构成 的 系统 经 过 不 断 地 考验 ， 日 臻 成熟， 并且 基于 这 个 协议 的 网 上 应 用 广泛 ， 所 以 这 些 年 
来 ， 它 已 经 成 为 事实 上 的 国际 标准 。 

构成 TCP/IP 的 协议 有 很 多 。 传 输 层 的 TCP 协议、 网 际 互联 层 的 他 协议 和 许多 别 的 协 
议 共同 构成 了 TCP/IP 协议 徐 。 其 中 最 重要 的 两 个 核心 协议 是 TCP 协议 与 卫 协议 。 


3.1.1 TCP/IP 协议 以 及 工作 原理 


TCP/IP 协议 由 TCP 协议 和 也 协议 组 成 , 它们 是 在 Intemet 上 的 两 个 网 络 协议 , 分 别 叫 
做 传输 控制 协议 和 互联 网 协议 ， 属 于 众多 TCP/IP 协议 簇 中 的 一 部 分 。 

TCP/IP 协议 簇 中 的 协议 保证 了 Intemet 上 各 种 类 型 的 计算 机 之 间 的 数据 传输 ， 提 供 了 
几乎 现在 上 网 所 用 到 包括 电子 邮件 的 传输 、 文件 传输 、BBS、 新 闻 组 的 发 布 以 及 访问 WWW 
的 所 有 服务 等 。 

1. TCP/IP 协议 的 四 层 模 型 

从 协议 分 层 模型 方面 来 看 ，TCP/IP 由 4 个 层次 组 成 : 网 络 接口 层 、 网 间 网 层 、 传 输 层 
和 应 用 层 ， 如 图 3.1 所 示 。 


| ee | 传输 层 协议 


网 间 网 层 协议 
网 络 接口 层 


图 3.1 TCP/IP 协议 的 四 层 模型 


(1) 网 络 接口 层 。 

网 络 接口 层 处 于 TCP/IP 协议 的 最 底层 ， 负 责 接收 IP 数据 报 并 通过 网 络 发 送 ， 或 者 从 
网 络 上 接收 物理 帧 ， 抽 出 卫 数据 报 ， 交 给 他 层 。 

(2) 网 间 网 层 。 

网 间 网 层 负责 相 邻 计算 机 之 间 的 通信 ， 其 功能 包括 : 

GD 处 理 来 自传 输 层 的 分 组 发 送 请 求 。 收 到 请 求 后 ， 将 分 组 装 入 IP 数据 报 ， 填 充 报头 ， 
选择 去 往 目 标 机 的 路 径 ， 然 后 将 数据 报 发 往 适 当 的 网 络 接口 。 

@ 处 理 输入 数据 报 。 首先 检查 其 合法 性 , 然后 进行 寻 址 , 假如 该 数据 报 已 到 达 目 标 机 ， 


则 去 掉 报头 ， 将 剩 下 部 分 交 给 适当 的 传输 协议 ; 假如 该 数据 报 尚未 到 达 目 标 机 ， 则 转发 该 、Y / 
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数据 报 。 
@ 处 理 路 径 、 流 量 控制 、 拥 塞 等 问题 。 
(3) 传输 层 。 

传输 层 提供 应 用 程序 间 的 通信 。 其 功能 主要 是 提供 可 靠 传输 。 为 实现 后 者 ， 传 输 层 协 

议 规定 接收 端 必须 发 回 确认 ， 假 如 分 组 丢失 ， 必 须 重新 发 送 。 
(4) 应 用 层 。 

应 用 层 向 用 户 提供 一 组 常用 的 〈 如 电子 邮件 、 文 件 传输 访问 、 远 程 登录 等 ) 应 用 程序 
远程 登录 Telnet 是 使 用 Telnet 协议 提供 在 网 络 其 他 主机 上 注册 的 接口 。Telnet 会 话 提供 了 
远程 的 虚拟 终端 。 文 件 传输 访问 FTP 是 使 用 FTP 协议 来 提供 网 络 内 节点 的 文件 复制 功能 。 

2. TCP/IP 协议 的 工作 原理 

TCP/IP 通过 协议 栈 工 作 ， 这 个 栈 是 所 有 用 来 在 两 台 计 算 机 间 完 成 一 个 传输 的 所 有 协议 
的 几 个 集合 。 这 也 就 是 一 个 通路 ， 数 据 通过 它 从 一 台 计 算 机 到 另 一 台 计 算 机 。 数 据 在 通过 
了 如 图 3.1 所 示 的 各 个 层 后 ， 就 从 网 络 的 一 台 计 算 机 到 了 另 一 台 计 算 机 上 。 栈 的 每 一 层 都 
能 从 相 邻 的 层 中 接收 或 发 送 数据 ， 每 一 层 都 与 许多 协议 相 联系 。 在 栈 的 每 一 层 ， 这 些 协议 
都 在 起 作用 。 

3，JIP 地 址 

Intemet 上 的 计算 机 和 网 络 设备 很 多 , 它们 相互 之 间 在 进行 信息 交换 时 必须 先 给 每 台 计 
算 机 或 网 络 设备 取 一 个 名 字 ， 称 为 Intemet 地 址 ， 即 人 P 地 址 ， 它 是 用 来 表明 网 络 上 的 每 一 
台 计 算 机 或 网 络 设备 自己 身份 的 地 址 ， 并 且 是 唯一 的 。 在 Intemet 中 ，IP 地 址 不 是 任意 分 
配 的 , 它 必须 由 相应 的 组 织 进行 分 配 , 如 中 国教 育 科 研 网 (CERNET) 的 用 户 必须 向 CERNET 
网 络 管理 中 心 申请 。TCP/IP 协议 对 这 个 地 址 做 了 规定 ， 一 个 人 P 地 址 由 一 个 32 位 二 进 制 数 
表示 ， 共 分 为 4 组 ， 每 8 位 为 一 组 ， 每 组 数字 的 取 值 范围 为 0~255， 相 互 之 间 用 圆 点 (. ) 
分 隔 ， 表 示 形 式 为 XXX.XXX.XXX.XXX， 如 192.168.0.100。 一 个 IP 地 址 由 一 个 网 络 部 分 

一 个 主机 部 分 组 成 ， 如 图 3.2 所 示 。 


网 络 地址 部 分 主机 地 址 部 分 


图 3.2 卫 地 址 的 格式 


为 了 有 效 地 利用 地 址 空间 ,根据 选择 的 网 络 地 址 和 主机 地 址 位 数 的 不 同 对 下 地 址 分 类 ， 
卫 地址 分 为 A、B、C、D 和 E5 大 类 ， 最 重要 的 是 A、B 和 C 类 也 地 址 。 

通过 IP 地址 的 前 三 位 ,就 能 区 分 出 他 地 址 是 属于 A 类 、B 类 或 C 类 ,如 了 他 地址 的 最 
高 位 为 0, 则 是 A 类 了 他 地 址 ,第 一 字 节 的 值 为 0~127,A 类 了 他 地 址 的 主机 容量 为 16777216。 
B 类 了 他 地 址 的 最 高 两 位 为 10, 第 一 字 节 的 值 为 128~~191, B 类 也 地 址 的 主机 容量 为 65536。 
而 C 类 下 地 址 的 最 高 三 位 是 110, 第 一 字 节 的 值 为 192~233, 主机 号 只 有 8 位 ,因此 只 能 有 256 
台 主 机 。 

将 他 地 址 分 成 网 络 和 主机 部 分 , 在 路 由 寻 址 时 非常 有 用 , 可 以 大 大 提高 网 络 的 速度 。 路 
由 器 (router) 就 是 通过 IP 地 址 的 网 络 号 来 决定 是 否 发 送 和 将 一 个 数据 包 发 送 到 什么 地 方 。 

一 个 网 络 设备 可 以 有 多 个 人 P 地 址 ， 比 如 连 在 两 个 物理 网 络 上 的 路 由 器 , 它 就 有 两 个 卫 
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地 址 ， 分 别 连 在 两 个 不 同 的 物理 网 络 上 ， 所 以 又 可 以 将 王 地 址 看 成 是 一 个 网 络 连接 。 网 络 
上 的 代理 服务 器 也 可 能 使 用 两 块 网 卡 ， 配置 两 个 属于 不 同 网 络 的 也 地址 , 或 使 用 一 块 网 卡 
配置 两 个 属于 不 同 网 络 的 他 地址 (如 Windows NT 操作 系统 中 )， 即 一 个 外 部 网 络 地 址 
一 个 内 部 网 络 地 址 。 


3.1.2 以 太 网 


1. 以 太 网 原理 


局 域 网 发 展 到 今天 ， 在 实际 应 用 中 己 相 当 普 及 。 在 各 种 局 域 网 技术 中 ， 以 太 网 被 广泛 
使 用 。 

以 太 网 (Ethemet) 是 一 种 产生 较 早 且 使 用 相当 广泛 的 局 域 网 ， 其 最 早 是 由 美国 Xerox 
(施乐 ) 公司 创建 的 ， 在 1980 年 由 DEC、Intel 和 Xerox 3 家 公司 联合 提出 了 以 太 网 规范 
这 是 世界 上 第 一 个 局 域 网 的 技术 标准 。 后 来 的 以 太 网 国际 标准 IEEE802.3 就 是 参照 以 太 网 
的 技术 标准 建立 的 ， 两 者 基本 兼容 。 为 了 与 后 来 提出 的 快速 以 太 网 相 区 别 ， 通 常 又 将 这 种 
按 IEEE802.3 规范 生产 的 以 太 网 产品 简称 为 以 太 网 。 

所 有 的 以 太 网 ， 不 论 其 速度 或 帧 类 型 是 什么 ， 几 乎 都 遵从 载波 侦 听 多 路 访问 /冲突 检测 
(CSMA/CD ) 的 通信 规则 。 以太 网 的 存 取 方式 是 一 种 采用 随机 访问 技术 的 竞争 型 (有 冲突 ) 
的 访问 方法 。 因 为 多 台 计 算 机 可 以 同时 使 用 以 太 网 ， 每 台 计 算 机 根据 是 否 有 载波 信号 出 现 
来 判定 总 线 是 否 空 六。 如 果 主 机 接口 有 数据 要 传输 ， 它 就 侦 听 ， 看 总 线 上 是 否 有 信号 在 传 
输 。 如 果 没 有 探测 到 ， 它 就 开始 传输 。 每 次 传输 都 在 一 定 的 时 间 间 隔 内 ， 即 传输 的 数据 包 
有 固定 的 大 小 。 而 且 硬 件 还 必须 在 两 次 传输 之 间 ， 观 察 一 个 最 小 的 空闲 时 间 ， 也 就 是 说 ， 
总 线 上 的 计算 机 使 用 通信 线路 的 通信 机 会 是 均等 的 。 

当 开始 一 个 传输 时 ， 信 和 号 并 不 能 同时 到 达 网 络 的 所 有 地 方 ， 这 就 有 可 能 使 两 个 设备 同 
时 探测 到 网 络 是 空闲 的 ， 并 都 开始 传输 ， 当 这 两 个 信号 在 网 络 上 相遇 时 ， 它 们 就 都 不 再 可 
用 了 ， 这 种 情况 就 叫做 冲突 (collision)。 

以 太 网 在 处 理 这 种 情况 时 ， 很 有 技巧 性 。 每 台 设备 在 它 传输 信号 时 都 监听 总 线 ， 看 它 
传输 时 是 否 有 信号 干扰 ， 这 种 监视 叫做 冲突 侦 听 ， 在 探测 到 冲突 后 ， 设 备 就 停止 传输 。 在 
以 太 网 上 ， 有 可 能 会 因为 所 有 设备 都 忙于 尝试 传输 数据 而 每 次 都 产生 冲突 。 

为 了 避免 这 种 情况 ， 以 太 网 使 用 一 个 二 进 制 后 退 策 略 。 发 送 者 在 第 一 次 冲突 后 ， 等 待 
一 个 随机 时 间 ， 再 进行 第 二 次 传输 ， 如 果 第 二 次 还 是 冲突 ， 则 等 待 时 间 延 长 一 倍 ， 第 三 次 
再 延长 一 倍 ， 以 此 类 推 。 通 常 这 种 策略 ， 即 使 两 台 设 备 第 二 次 等 待 的 时 间 会 很 接近 ， 但 由 
于 后 面 的 等 待 时 间 成 指数 倍增 长 ， 不 久 ， 它 们 就 不 会 冲突 了 。 

2. 以 太 网 的 帧 地 址 

每 台 连 接 到 以 太 网 上 的 计算 机 都 有 一 个 唯一 的 48 位 〈 二 进 制 数 ) 以 太 网 地 址 。 以 太 网 
卡 厂商 都 从 一 个 机 构 购 得 一 段 地 址 ， 在 生产 时 ， 给 每 块 网 卡 一 个 唯一 地 址 。 通 常 ， 这 个 地 
址 是 固化 在 网 卡 上 的 ， 称 为 网 卡 的 物理 地 址 (MAC 地 址 )。 

当 一 个 数据 帧 到 达 时 ， 硬 件 会 对 这 些 数 据 进 行 过 滤 ， 根 据 帧 结构 中 的 目的 地 址 ， 将 属 
于 发 送 到 本 设备 的 数据 传输 给 操作 系统 ， 而 忽略 其 他 任何 数据 。 Ce 
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生活 中 ， 经 常会 看 到 或 听 到 这 样 的 消息 ， 一 个 黑客 入 侵 了 某 一 网 络 ， 使 该 网 络 的 服务 
器 全 部 瘫痪 ; 一 个 黑客 利用 网 络 从 某 一 银行 次 取 了 大 量 钱财 等 。 这 些 例子 说 明 Internet 是 不 
安全 的 ，Internet 需要 更 多 、 更 好 的 安全 机 制 。 事实 上 ， 世 界 上 没有 绝对 安全 的 网 络 ， 只 要 
用 户 的 计算 机 网 络 连接 到 Intemet 上 , 它 就 存在 着 危险 。 安全 问题 的 一 个 主要 方面 就 是 使 用 
的 TCP/IP 协议 本 身 就 存在 着 巨大 的 安全 缺陷 ， 包 括 建立 在 其 上 面 的 很 多 服务 。 


3.2.1 网 络 自身 的 安全 缺陷 


Intemet 的 基石 是 TCP/IP 协议 ， 该 协议 在 实现 上 力求 简单 高 效 ， 而 没有 考虑 安全 因素 。 
因为 如 果 考 虑 安全 因素 ， 无 疑 会 增 大 程序 代码 量 ， 从 而 降低 TCP/IP 的 运行 效率 ， 所 以 说 
TCP/IP 协议 本 身 在 设计 上 就 是 不 安全 的 ， 主 要 存在 以 下 的 安全 缺陷 。 

1， 容易 被 窃听 

大 多 数 Internet 上 的 数据 信息 流 是 没有 加 密 的 , 电子 邮件 口令 、 文件 传输 等 很 容易 被 监 
听 和 劫 获 ， 可 以 实现 这 些 行 为 的 工具 很 多 ， 还 有 很 多 免费 提供 此 类 工具 的 网 站 。 

2. 脆弱 的 TCP/IP 服务 

在 Intemet 上 ， 很 多 基于 TCP/IP 协议 的 应 用 服务 都 在 不 同 程度 上 存在 着 安全 问题 ， 这 
很 容易 被 一 些 对 TCP/IP 协议 十 分 了 解 的 人 所 利用 , 尤其 是 一 些 新 的 处 于 测试 阶段 的 服务 有 
更 多 的 安全 缺陷 。 

3. TCP/IP 协议 缺乏 安全 策略 

由 于 技术 水 平原 因 , Intemet 上 的 许多 网 络 站 点 在 防火 墙 的 配置 上 无 意识 地 扩大 了 访问 
权限 ， 忽 视 了 这 些 权限 可 能 会 被 网 络 内 部 的 人 利用 或 小 用， 黑客 从 一 些 服务 中 可 以 获得 有 
用 的 信息 ， 而 网 络 管理 或 维护 人 员 却 不 知道 应 该 禁止 这 种 服务 。 

4. 配置 的 复杂 性 

在 Intemet 上 ,访问 控制 的 配置 一 般 是 很 复杂 的 ,所 以 很 容易 被 错误 配置 或 配置 不 完善 ， 
使 黑客 有 了 可 乘 之 机 。 


3.2.2 ”网络 容 易 被 窃听 和 欺骗 


由 于 局 域 网 的 特点 使 得 网 络 极 易 被 窃听 。Intemet 是 把 无 数 的 局 域 网 连接 起 来 形成 一 
大 网 ， 然 后 再 把 大 的 网 连接 成 更 大 的 网 ， 从 而 形成 一 个 庞大 的 网 络 。 它 的 拓扑 结构 是 一 种 
ete 虽然 Intemet 上 的 信息 传输 是 点 对 点 的 ， 但 一 般 Internet 的 主机 会 处 

一 个 特定 的 局 域 网 当中 ， 例 如 一 个 学 校 的 一 个 计算 机 实验 室 构 成 了 一 个 局 域 网 ， 它 连接 


Lv a 校园 网 又 连接 到 中 国教 育 科研 网 (CERNET)，CERNET 又 连接 到 
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了 国内 的 其 他 网 络 或 直接 连 到 了 国外 的 网 络 上 。 因 为 局 域 网 (如 以 太 网 、 令 牌 网 等 ) 都 是 
广播 型 网 络 ， 也 就 是 说 ， 网 络 上 的 一 台 主 机 发 布 消息 ， 网 络 上 的 任何 一 台 机 器 都 可 以 收 到 
这 个 消息 。 一 般 情况 下 ， 以 太 网卡 在 收 到 发 送 给 别人 的 消息 时 会 自动 丢弃 消息 ， 而 不 向 上 
层 传递 消息 。 但 如 果 我 们 把 以 太 网 卡 的 接收 模式 设置 成 混合 型 (promiscuous), 这样 网 卡 就 
会 捕捉 所 有 的 数据 包 ， 并 把 这 些 数据 包 向 上 传递 ， 这 就 造成 了 以 太 网 可 能 被 窃听 。 其 实 ， 
光纤 分 布 式 数据 接口 (Fiber Distribrted-Data Interface, FDDI)、 令 牌 网 等 也 存在 这 样 的 问题 。 
现在 的 ATM 网 络 技术 是 点 对 点 的 ， 它 不 会 像 以 太 网 的 广播 式 网 络 那样 容易 被 窃听 。 如 
图 3.3 所 示 为 以 太 网 卡 混合 工作 方式 和 普通 工作 方式 的 工作 原理 。 


| 
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图 3.3 以太 网 卡 混合 工作 方式 和 普通 工作 方式 

Intemet 上 的 信息 ， 容 易 被 窍 听 和 动 获 的 另 一 个 原因 是 ， 当 有 一 个 人 用 一 台 主 机 和 网 络 
上 的 另 一 台 主机 进行 通信 时 ， 它 们 之 间 相互 发 送 的 数据 信息 包 是 经 过 很 多 机 器 《网 络 和 路 
由 器 ) 重新 转发 的 。 如 在 公司 计算 机 局 域 网 内 的 一 台 主 机 上 要 访问 Hotmail 主机 ， 用 户 数 
据 包 要 经 过 公司 局 域 网 的 路 由 器 或 代理 服务 器 、 公 司 网 络 的 路 由 器 、 网 络 服务 商 的 多 个 路 
由 器 ， 然 后 从 总 出 口 出 去 ， 再 经 过 很 多 网 络 和 路 由 器 才能 到 达 Hotmail 主机 。 具 体 要 经 过 
多 少 主机 、 多 少 路 由 器 和 多 少 网 络 ， 不 同 的 时 候 可 能 不 同 ， 用 户 可 以 用 网 络 测试 工具 得 到 。 
如 图 3.4 所 示 为 网 络 上 数据 信息 层 层 传递 的 工作 原理 。 


BE 车 C 不 是 目标 网 络 
EE 

路 由 器 
网 络 D 


图 3.4 Intemet 上 数据 的 传输 过 程 
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因为 Intemet 的 这 种 工作 原理 不 仅 节约 了 资源 ， 而 且 简化 了 传输 过 程 的 实现 ， 符 合 
TCP/P 协议 简单 、 高 效 的 宗旨 ， 但 这 也 带 来 了 安全 上 的 问题 。 当 然 用 户 不 可 能 力求 安全 而 
放弃 这 种 方法 ， 因 为 这 样 做 是 不 实际 的 ， 也 是 没有 必要 的 。 用 户 所 能 做 的 只 是 意识 到 这 种 
问题 ， 并 以 其 他 方法 来 解决 这 种 问题 ， 提 高 系统 的 安全 性 。 在 数据 的 传输 过 程 中 ， 如 果 一 
个 黑客 可 以 使 用 一 台 处 于 用 户 的 数据 包 传输 路 径 上 的 主机 ， 那 么 他 就 可 以 窃听 或 动 持 用 户 
的 数据 包 。 例 如 ， 处 于 每 个 网 络 出 口上 的 机 器 〈 比 如 网 络 上 的 边界 路 由 器 ) 就 可 以 监听 所 
有 从 这 个 网 络 进出 的 数据 包 ， 这 和 以 前 经 过 总 机 接 转 的 电话 监听 是 类 似 的 。 实 际 上 ， 网 络 
流量 的 统计 和 防火 墙 等 都 是 利用 了 这 个 原理 来 实现 的 。 网 络 上 的 窃听 可 能 是 出 于 好 奇 ， 也 
可 能 是 恶意 的 。 现 在 ， 越 来 越 多 的 黑客 不 再 是 喜欢 破坏 公物 的 人 ， 多 数 是 出 于 商业 目的 ， 
所 以 网 络 安全 是 把 Internet 真正 推 向 商业 化 所 必须 要 考虑 和 解决 的 问题 。 如 图 3.5 所 示 为 这 
种 类 型 的 窃听 过 程 。 


C 主 机 
图 3.5 ”数据 在 传输 过 程 中 被 窃听 或 动 持 


电子 欺骗 (Spoofing Attack) 是 针对 HTTP、FTP 和 DNS 等 协议 的 攻击 ， 可 以 窃取 普 

通用 户 甚 至 超级 用 户 的 权限 ， 任 意 修 改 信息 内 容 ， 造 成 巨大 危害 。 常 见 的 电子 欺骗 有 DNS 
(Domain Name Service) 欺骗 和 IP 地 址 欺骗 两 种 。 

电子 欺骗 的 一 种 形式 是 DNS 欺骗 ， 它 是 利用 了 DNS 服务 本 身 的 脆弱 性 。DNS 是 其 他 
Internet 服务 ， 如 WWW 服务 、FTP 服务 和 电子 邮件 服务 SNMP 的 基础 ， 它 负责 把 输入 的 
域名 转换 成 下 地址 。 

网 络 上 的 DNS 服务 器 很 多 , 这 些 服 务 器 里 有 一 个 数据 库 , 它 记录 着 IP 地 址 和 域名 的 
对 应 信息 。 当 用 户 的 主机 向 这 些 服务 器 查询 转换 信息 时 ， 这 些 主机 就 会 回答 用 户 的 查询 ， 
从 而 得 到 要 查找 的 主机 的 了 P 地 址 。 DNS 欺骗 的 关键 在 于 这 些 服务 器 不 一 定 知道 用 户 所 要 
的 信息 ， 于 是 该 服务 器 会 向 别 的 服务 器 查询 ， 并 且 它 对 查询 结果 不 加 确认 就 放 入 自己 的 
数据 库 中 ， 并 回答 给 用 户 。 比 如 ， 在 现实 生活 中 有 这 样 的 例子 ， 用 户 想 知道 D 是 不 是 一 
个 可 信任 的 人 ， 于 是 去 问 A， 可 是 A 不 能 回答 这 个 问题 ,于 是 A 去 问 B，B 知道 D 是 不 


可 信任 的 ， 于 是 告诉 A， 然 后 由 A 再 告诉 用 户 。 试 想 ，D 为 了 不 让 用 户 知道 他 的 真实 面 
目 ， 他 会 设法 让 他 的 好 友 告 诉 A，D 是 可 信任 的 ， 而 A 又 是 一 个 不 负责 任 的 人 ， 他 不 会 
去 核实 这 个 消息 ， 于 是 当 有 用 户 再 次 去 问 A 时 ，A 会 告诉 用 户 , D 是 一 个 可 以 信任 的 人 。 
这 就 是 为 什么 会 有 DNS 欺骗 的 原因 。 如 图 3.6 所 示 为 DNS 欺骗 的 过 程 。 


一 ph 


主机 pc.nuts.com pcnuts.com 
主机 A 信任 主机 是 202.101.40.9 
IP:116.111.4.10 目 攻击 机 
网 | 口 ] IP:202.101.40.9 
DNS 服务 器 “= 4 
请 求 访问 


202.101.40.9 是 


| pe-nuts.com 


被 攻击 主机 A 以 为 是 信任 主机 ， 
一 一 更 许 访问 


图 3.6 DNS 欺骗 


IP 地 址 欺骗 也 是 一 种 电子 欺骗 , 就 是 伪造 他 人 的 源 下 地 址 , 其 实质 上 就 是 让 一 台 机 器 
来 扮演 另 一 台 机 器 ， 借 以 达到 蒙混 过 关 的 目的 。Intemet 上 的 每 一 台 主 机 都 有 一 个 IP 地址， 
当 用 户 的 数据 包 将 要 离开 主机 网 卡 端 口 时 ,数据 包 上 被 自动 加 上 主机 的 他 地 址 ， 这样 接 收 
者 就 知道 是 谁 发 来 的 数据 信息 。 因 为 TCP/IP 协议 的 实现 代码 是 公开 的 ， 所 以 人 们 能 很 容易 
地 开发 出 一 种 工具 软件 ， 让 使 用 者 指定 数据 包 的 源 人 P 地 址 ， 实 现 IP 地 址 的 伪装 ， 从 而 产 
生 欺 骗 行 为 。 下 面 一 些 服务 相对 来 说 容易 招致 此 类 攻击 。 

(1) 任何 使 用 sunrpc 调用 的 配置 。rpc 指 Sun 公司 的 远程 过 程 调用 标准 ， 是 一 组 工作 
于 网 络 之 上 的 处 理 系统 调用 的 方法 。 

(2) 任何 利用 他 地 址 认证 的 网 络 服务 。 

(3) X-Window 系统 。 

(4) 各 种 rz 服务 。 在 UNIX 环境 中 ，r 服务 包括 rlogin 和 rsh， 其 中 上 表示 远程 。 人 们 
设计 这 两 个 应 用 程序 的 初 更 是 向 用 户 提供 远程 访问 Intermet 网 络 上 主机 的 服务 。r 服务 极 易 
受到 了 IP 欺骗 的 攻击 。 

请 看 一 个 例子 , 假如 黑客 主机 攻击 A 主机 ， 并 且 打算 伪装 成 B 主机 和 A 进行 会 话 ， 黑 
客 的 主机 为 C 主机 。 黑 客 从 C 主机 发 出 TCP 连接 请 求 ， 但 使 用 了 B 主机 的 也 地 址 ，A 主 
机 在 收 到 请 求 数据 包 后 , 向 B 主机 发 出 应 答 数据 包 。 黑客 不 会 让 B 主机 收 到 A 主机 发 出 的 
应 答 数 据 包 ， 因 为 那样 A 主机 会 知道 有 人 在 冒充 B 主机 。 使 B 主机 不 能 接收 到 A 主机 发 
出 的 应 答 数据 包 的 方法 有 3 种 ， 第 一 种 是 动 持 A 主机 发 出 的 数据 包 ， 第 二 种 是 用 大 量 的 连 
接 请 求 数据 包 淹 没 B 主机 , 使 它 无 机 会 处 理 来 自 A 主机 的 数据 包 , 第 三 种 是 改变 主机 A 到 
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主机 B 的 路 由 , 使 数据 包 不 能 到 达 B 主机 , 于 是 黑客 就 可 以 在 A 主机 不 察觉 的 情况 下 冒充 
B 主机 进行 对 话 了 。 如 图 3.7 所 示 描 述 了 这 个 过 程 。 

几乎 所 有 的 电子 欺骗 都 依赖 于 目标 网 络 的 信任 关系 ， 解 决 电 子 欺骗 的 途径 是 慎重 设置 
和 处 理 网 络 中 的 主机 信任 关系 ， 尤 其 是 不 同 网 络 之 间 主 机 的 信任 关系 。 如 只 存在 局 域 网 内 
的 信任 关系 , 可 以 设置 路 由 器 使 之 过 滤 掉 外 部 网 络 中 自称 源 地 址 为 内 部 网 络 地 址 的 人 P 数据 
包 ， 从 而 抵御 也 欺骗。 目前 ，Cisco System 和 ISS 等 公司 提供 了 一 些 安全 软件 包 ， 其 具有 
测试 网 络 在 下 欺骗 上 的 漏洞 的 功能 。 


a 


T em 
靶 局 内 部 路 由 器 


攻击 数据 包 声 
称 来 自 B 主机 


A 主 机 
图 3.7 Pp 地 址 欺骗 
3.2.3 ”脆弱 的 TCP/IP 服务 


基于 TCP/IP 协议 的 Internet 服务 很 多 ， 包 括 WWW 服务 、 电 子 邮 件 服务 、FTP 服务 、 
TFTP 服务 、NFS 服务 和 Finger 服务 等 。 这 些 服务 都 存在 不 同 程度 的 安全 缺陷 。 当 用 户 用 
防火 墙 保护 站 点 时 ， 就 应 该 清楚 提供 哪些 服务 、 禁 止 哪些 服务 。 

1. 电子 邮件 服务 


电子 邮件 服务 给 人 们 提供 了 一 种 便宜 、 方 便 和 快捷 的 服务 ，E-mail 甚至 开始 出 现在 人 

们 的 名 片上 ， 成 为 了 最 受 欢 迎 的 通信 方式 之 一 。 现 在 ，UNIX 操作 系统 环境 下 的 电子 邮件 
服务 器 一 般 是 用 Sendmail， 它 是 一 个 复杂 且 功 能 强大 的 应 用 软件 ， 正 因为 如 此 ， 它 的 安全 
漏洞 就 更 多 。 一 般 来 说 ， 程 序 越 庞 大 、 越 复杂 ， 出 现 安全 漏洞 的 可 能 性 就 越 大 。Sendmail 

在 UNIX 操作 系统 环境 下 以 root 账号 运行 ， 所 以 如 果 该 程序 被 黑客 利用 ， 用 户主 机 的 损失 

将 是 十 分 巨大 的 。Intemet 上 的 蠕虫 病毒 曾经 震惊 世界 ， 它 使 大 批 的 网 络 服务 器 陷于 瘫痪 之 

\、\，、， 中 ， 这 种 病毒 就 是 利用 了 Sendmail 的 安全 缺陷 。 如 果 使 这 些 功 能 以 更 安全 的 方式 实现 ， 则 
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需要 对 Sendmail 进行 重新 设计 和 重新 实现 , 但 人 们 又 会 担心 新 的 版 本 会 出 现 更 多 的 人 们 不 
知道 的 安全 漏洞 。Sendmail 的 安全 问题 被 人 们 修 修补 补 ， 但 总 是 有 新 的 问题 出 现 。 

除 此 之 外 ， 电 子 邮件 的 附件 中 的 Word 文件 或 其 他 文件 中 也 可 能 会 带 有 病毒 ， 给 系统 
安全 带 来 麻烦 。 电 子 邮件 炸弹 就 是 一 个 令 人 头疼 的 问题 。 

2. FTP 服务 


FTP 服务 是 用 于 传输 文件 的 , 可 以 用 来 下 载 任何 类 型 的 文件 .网络 上 有 许多 的 匿名 FTP 
服务 站 点 ， 其 上 有 许多 免费 软件 、 图 片 和 游戏 等 ， 匿 名 FTP 是 人 们 常 使 用 的 一 种 服务 方 
式 。 匿 名 FTP 服务 就 像 匿名 WWW 服务 一 样 是 不 需要 口令 的 ， 但 用 户 的 权力 会 受到 严格 
的 限制 。 匿 名 FTP 存在 一 定 的 安全 隐患 , 因为 有 些 匿名 FTP 站 点 提供 了 可 写 空 间 给 用 户 ， 
这 样 用 户 就 可 以 上 传 一 些 软件 到 站 点 上 浪费 该 站 点 磁盘 空间 、 网 络 带 宽 等 系统 资源 ， 还 
可 能 会 造成 “拒绝 服务 ”攻击 。 匿 名 FTP 服务 的 安全 很 大 程度 上 取决 于 一 个 系统 管理 员 
的 水 平 ， 一 个 低 水 平 的 系统 管理 员 很 可 能 会 错误 授权 配置 ， 从 而 被 黑客 加 以 利用 ， 并 破坏 
整个 系统 。 

3， Finger 服务 


Finger 服务 用 于 查询 用 户 的 信息 ， 包 括 网 上 成 员 的 真实 姓名 、 用 户 名 、 最 近 的 登录 时 
间 和 地 点 等 ， 也 可 以 用 来 显示 当前 登录 在 机 器 上 的 所 有 用 户 名 。 这 对 于 入 侵 者 来 说 是 无 价 
之 宝 ， 因 为 它 能 告诉 入 侵 者 在 本 机 器 上 有 效 的 登录 名 ， 然 后 入 侵 就 可 以 注意 其 活动 了 ， 等 
待 时 机 成 熟 时 再 实施 攻击 。 

4. 其 他 安全 性 极 差 的 服务 


除了 上 面 提 到 的 服务 外 ,还 有 如 WWW、X-Window 系统 服务 、 基 于 RPC 的 NFS 服务 
和 BSD UNIX 系统 的 “r” 开 头 的 服务 ， 如 rlogin、rsh 和 rexec 等 。 这 些 服务 在 设计 上 安全 
性 极 差 ， 一 般 只 在 内 部 使 用 。 如 果 网 络 有 防火 墙 ， 就 应 该 把 这 些 服务 限制 在 内 部 网 络 中 。 


3.2.4 缺乏 安全 策略 


制定 一 个 完善 和 成 功 的 网 络 安全 策略 并 不 是 一 件 容易 的 事情 ， 需 要 网 络 使 用 者 的 通力 
合作 ， 尤 其 需要 管理 部 门 的 大 力 支持 和 配合 。 一 般 来 说 ， 单 位 管理 部 门 制定 网 络 的 总 体 安 
全 策略 ， 系 统管 理 员 提供 技术 咨询 和 支持 。 很 多 企业 或 事业 单位 都 建立 了 自己 的 内 部 局 域 
网 络 (Intranet)， 并 且 通 过 不 同 的 途径 接 入 了 Intemet。 大 多 数 人 认为 只 要 网 络 有 防火 墙 ， 
就 能 够 保证 网 络 的 安全 ， 但 实际 上 防火 墙 战略 只 是 网 络 总 体 安全 策略 中 的 一 部 分 。 例 如 ， 
一 个 企业 网 络 的 网 络 管理 员 是 一 个 网 络 安全 专家 ， 网 络 的 防火 墙 上 也 无 任何 安全 漏洞 ， 但 
网 络 安全 意识 淡薄 的 职员 可 能 会 抱怨 防火 墙 限制 太 多， 而 用 拨号 方式 连接 Internet， 这 无 疑 
给 了 黑客 可 乘 之 机 ， 因 为 他 可 以 通过 电话 线路 绕 过 坚固 的 防火 墙 而 进入 用 户 网 络 内 部 。 有 
些 黑客 实施 社会 工程 攻击 ， 攻 击 对 象 就 是 那些 没有 安全 意识 的 职员 ， 他 会 欺骗 这 些 职 员 ， 
让 职员 告诉 他 机 器 的 口令 等 秘密 数据 信息 。 所 以 ， 人 是 安全 策略 的 中 心 和 重心 ， 防 火 墙 只 
是 一 种 工具 ， 安 全 策略 实施 得 好 与 坏 取决 于 人 员 的 素质 ， 对 职员 的 安全 意识 教育 和 定期 培 
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训 是 一 种 好 的 办 法 。 

除了 人 为 的 因素 外 ， 另 一 个 因素 也 妨碍 着 安全 策略 的 执行 ， 那 就 是 系统 和 防火 墙 本 身 
配置 的 复杂 性 。 这 对 管理 员 要 求 很 高 。 低 水 平 的 系统 管理 员 常 常会 把 防火 墙 配置 错 ， 这 样 
就 在 防火 墙 上 打开 了 安全 漏洞 。 另 外 ， 防 火 墙 的 管理 不 仅仅 是 单 击 鼠 标 就 可 以 的 ， 系 统 日 
志 的 查看 也 是 十 分 重要 的 ， 在 日 志文 件 中 可 以 发 现 入侵 的 迹象 ， 及 时 对 防火 墙 的 配置 进行 
修改 , 防止 入 侵 的 扩展 。 当 然 ， 随 着 防火 墙 技术 的 发 展 ,防火 墙 的 配置 也 会 像 操作 Windows 
那样 简单 ， 这 样 会 推动 防火 墙 的 使 用 ， 更 好 地 发 挥 防火 墙 的 作用 。 

总 之 ， 一 个 好 的 安全 策略 的 实施 效果 取决 于 职员 的 安全 意识 和 网 络 管理 者 ， 尤 其 是 网 
络 安 全 管理 员 的 计算 机 知识 水 平和 技术 能 力 。 


3.2.5 来 自 Internet 的 威胁 


Intemet 上 存在 人 为 的 威胁 和 自然 的 破坏 。 在 这 两 个 因素 中 ， 人 为 的 破坏 是 更 重要 的 ， 
自然 的 破坏 可 以 通过 数据 备份 和 元 余 设置 等 来 预防 ， 人 为 的 破坏 则 防不胜防 。 人 为 的 破坏 
主要 来 自 网 络 黑客 ， 研 究 计 算 机 网 络 犯罪 现在 已 经 成 为 犯罪 学 研究 领域 的 一 个 重要 部 分 ， 
这 些 罪 犯 知识 水 平 高 、 危 害 性 大 ， 而 且 隐 蔽 性 很 强 ， 是 一 种 高 科技 手段 的 犯罪 行为 。 目 前 
在 Internet 上 实行 商业 信息 盗窃 、 银 行 抢劫 等 犯罪 活动 越 来 越 多 , 网 络 黑客 不 仅 是 一 些 想 显 
示 自 己 计算 机 水 平和 计算 机 应 用 能 力 的 好 奇 的 大 学 生 ， 更 多 的 是 一 些 专职 的 商业 间谍 ， 有 
的 是 对 钱财 的 贪 禁 ， 有 的 是 出 于 其 他 目的 。 另 一 种 人 为 的 破坏 是 来 自 网 络 内 部 ， 这 种 危害 
来 自 那些 对 企业 或 单位 不 满 ， 或 者 是 被 解雇 了 的 职员 对 内 部 网 络 的 入 侵 ， 因 为 这 种 人 对 内 
部 网 络 很 了 解 ， 他 们 的 这 种 入 侵 危 害 性 很 大 。 因 此 ， 网 络 管理 人 员 及 时 地 删除 离职 人 员 的 
账户 是 非常 重要 的 。 

除了 直接 的 网 络 入 侵 外 , 各 种 病毒 程序 也 是 ntemet 上 潜在 的 巨大 的 危险 , 这 些 病毒 可 
以 在 网 络 上 随意 传播 ， 也 可 以 通过 下 载 的 软件 ， 如 Java 程序 、ActiveX 控件 等 进入 到 内 部 
网 络 ， 从 而 对 网 络 造成 危害 。 特 洛 伊 木马 就 是 一 种 病毒 程序 ， 它 在 表面 上 看 起 来 是 无 害 的 ， 
具有 很 强 的 隐蔽 性 ， 但 它 实际 上 却 在 背后 破坏 用 户 的 网 络 。 

虽然 现在 的 防火 墙 都 声称 具有 防 病毒 的 功能 ， 但 新 的 病毒 、 旧 病毒 的 变异 品种 是 不 会 
被 发 现 的 ， 它 仍然 会 进入 用 户 的 网 络 ， 给 网 络 造成 危害 。 


3.3 ”网络 协 议 有 在 的 不 实 全 人 性 


网 络 层 的 协议 是 一 些 传输 透明 化 的 协议 ， 如 果 不 使 用 一 些 监视 系统 进程 的 工具 ， 用 户 
是 看 不 见 这 些 协议 的 。 

Sniffers 是 一 种 能 看 到 这 些 步 又 的 装置 ， 这 个 装置 可 以 是 软件 ， 也 可 以 是 硬件 ， 它 能 读 
取 通 过 网 络 发 送 的 每 一 个 数据 包 ， 能 读 取 发 生 在 网 络 层 协议 的 任何 活动 。 它 广泛 地 用 于 隔 
离 用 户 看 不 到 的 、 网 络 性 能 下 降 的 问题 ， 它 会 对 网 络 的 安全 问题 造成 威胁 。 
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网 络 层 协议 包括 地 址 解析 协议 、Intemet 控制 消息 协议 、Intemet 协议 、 传 输 控 制 协议 等 。 
3.3.1 JP 协议 与 路 由 


1. IP 协 议 

了 王 协 议定 义 了 一 种 高 效 、 不 可 靠 和 无 连接 的 传输 方式 。 由 于 传输 没有 得 到 确认 ， 所 以 
是 不 可 靠 的。 一 个 数据 包 可 能 丢失 了 ， 或 看 不 见 了 ， 或 是 延 时 了 ， 或 是 传输 顺序 错 了 ， 但 
是 传输 设备 并 不 能 检测 到 这 些 情 况 ， 也 不 通知 通信 双方 。 无 连接 则 是 因为 每 个 数据 包 的 传 
递 与 别 的 数据 包 是 相互 独立 的 ， 同 一 个 计算 机 上 的 数据 包 可 以 通过 不 同 的 路 径 到 达 另 一 台 
计算 机 ， 或 在 别 的 计算 机 上 已 经 丢失 。 由 于 传输 设备 都 试图 以 最 快 的 速度 传输 ， 所 以 是 最 
高 效 的 。 

卫 协议 定义 了 通过 TCP/IP 网 络 传输 的 数据 格式 和 数据 进行 传递 的 路 由 功能 。IP 数据 
包 由 头 部 分 和 数据 部 分 组 成 ， 头 部 分 包含 诸如 目的 地 址 、 源 地 址 和 数据 的 类 型 等 信息 。 

2. IP 路 由 


在 一 个 网 络 上 ， 连 接着 两 种 基本 设备 :主机 和 路 由 器 。 路 由 器 通常 连接 几 个 物理 网 络 。 
对 一 台 主 机 来 讲 ， 要 将 一 个 数据 包 发 送 到 别 的 网 络 ， 就 需要 知道 这 个 数据 包 应 该 走 什 么 路 
径 才 能 达到 目的 地 。 对 一 台 路 由 器 来 讲 ， 必 须 清楚 将 收 到 的 数据 包 发 往 哪个 物理 网 络 。 因 
此 ， 无 论 主 机 还 是 路 由 器 ， 在 发 送 数据 包 时 都 要 做 路 由 选择 。 

数据 发 送 有 直接 数据 发 送 和 间接 数据 发 送 两 种 方式 。 直 接 数据 发 送 通常 是 在 同一 个 物 
理 网 络 里 进行 的 。 当 一 个 主机 或 路 由 器 要 将 数据 包 发 送 到 同一 物理 网 络 上 的 主机 时 ， 就 是 
采用 这 种 方式 的 。 首 先 判断 人 P 数据 包 中 的 目的 地 址 中 的 网 络 部 分 , 如 果 是 在 同一 个 网 络 上 
则 通过 地 址 分 析 , 将 下 数据 包 的 目的 地 址 转换 成 物理 地 址 ， 并 将 数据 包 和 解 开 和 该 地 址 合成 
一 个 物理 传输 帧 ,通过 局 域 网 将 数据 包 发 出 。 间接 数据 发 送 是 在 不 同 物理 网 络 之 间 进 行 的 。 
当 一 个 主机 或 路 由 器 要 将 数据 包 发 送 到 不 同 的 物理 网 络 上 的 主机 时 ， 这 人 台 设 备 就 先 在 路 由 
表 中 查找 路 由 ， 然 后 将 数据 包 发 往 路 由 中 指定 的 下 一 个 路 由 器 ,这 样 一 直 向 外 传送 数据 包 ， 
最 后 肯定 有 一 个 路 由 器 发 现 数据 包 要 发 往 同一 个 物理 网 络 , 于 是， 再 用 直接 数据 发 送 方式 ， 
将 数据 包 发 送 到 目的 主机 上 。 

主机 和 路 由 器 在 决定 数据 怎样 发 送 时 ， 都 要 去 查找 路 由 。 一 般 都 将 路 由 组 成 一 个 路 由 
表 存 放 在 计算 机 中 。 路 由 表 一 般 采 用 CN，R) 对 表示 ，N 是 目的 地 址 的 网 络 地 址 ，R 是 传 
输 路 径 中 的 下 一 个 路 由 。 通 常 这 个 路 由 和 这 台 计 算 机 在 同一 个 物理 网 络 里 。 


3.3.2 TCP 协议 


TCP 协议 在 下 协议 之 上 , 为 其 上 的 应 用 层 提供 了 一 种 可 靠 的 传输 服务 ， 这 种 服务 的 特 
点 是 可 靠 、 全 双 工 、 流 式 和 无 结构 传输 。 

TCP 协议 使 用 积极 确认 和 重 发 送 技术 来 实现 可 靠 传输 。 接 收 者 在 收 到 发 送 者 发 送 的 数 
据 后 ， 必 须发 一 个 相应 的 确认 (ACK) 消息 ， 表 示 它 已 经 收 到 了 数据 。 发 送 者 保存 发 送 的 
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数据 记录 ， 在 发 送 下 一 个 数据 前 ， 等 待 这 个 数据 的 确认 消息 。 在 它 发 送 这 个 数据 的 同时 ， 
还 启动 一 个 计时 器 ， 如 果 在 一 定 的 时 间 内 ， 没 有 接收 到 确认 消息 ， 就 认为 是 这 个 数据 在 传 
送 时 丢失 了 ， 接 着 就 会 重新 发 送 这 个 数据 。 

这 种 方法 产生 了 一 个 问题 ， 就 是 数据 包 的 重复 。 如 果 网 络 传输 速度 比较 慢 ， 等 到 等 待 
时 间 结 束 后 ， 确 认 消 息 才 返回 到 发 送 者 ， 那 么 由 于 发 送 者 采用 的 是 重复 发 送 方法 ， 就 会 出 
现 重复 的 数据 包 。 解 决 办 法 是 给 每 个 数据 包 分 配 一 个 序列 号 ， 并 需要 发 送 者 记 住 哪个 序列 
号 的 数据 包 已 经 确认 了 。 为 了 防止 由 于 延 时 或 重复 确认 ， 规 定 确 认 消息 里 也 要 包含 确认 序 
列 号 ， 从 而 发 送 者 就 能 知道 哪个 数据 包 已 经 确认 了 。 

使 用 TCP 传输 就 是 建立 一 个 连接 ， 在 TCP 传输 中 一 个 连接 由 两 个 端点 组 成 。 其 实 一 
个 连接 代表 的 是 发 送 者 和 接收 者 两 端 应 用 程序 之 间 的 一 个 通信 ， 可 以 把 它们 想象 成 建立 了 
一 个 电路 ， 通 常 一 个 连接 用 (Host，Port) 表达 ， 其 中 ，Host 是 主机 ，Port 是 端口 。TCP 
端口 能 被 几 个 应 用 程序 共享 。 对 于 程序 员 来 讲 ， 可 以 理解 为 一 个 程序 可 以 为 不 同 的 连接 
服务 。 

TCP 传输 数据 的 单位 是 段 ， 在 建立 连接 、 发 送 数 据 、 确 认 消 息 和 告知 窗口 大 小 时 
均 要 进行 段 的 交换 。 段 的 格式 也 分 成 头 和 数据 两 个 部 分 。 

TCP 协议 使 用 三 次 握手 来 建立 一 个 TCP 连接 。 握 手 过 程 的 第 一 个 段 的 代码 位 设置 为 
SYN， 序 列 号 为 x， 表 示 开 始 第 一 次 握手 ， 接 收 方 收 到 这 个 段 后 ， 向 发 送 者 回 发 一 个 段 ， 
代码 位 设置 为 SYN 和 ACK， 序列 号 设置 为 y, 确认 序列 号 设置 为 x+1。 发 送 者 收 到 这 个 段 
后 ， 就 知道 可 以 进行 TCP 数据 发 送 了 ， 于 是 它 又 向 接收 者 发 送 一 个 ACK 段 ， 表 示 双 方 的 
连接 已 经 建立 。 在 完成 握手 后 ， 就 开始 正式 的 数据 传输 了 。 

TCP 协议 的 这 种 属性 ， 决 定 了 它 难 以 避免 的 安全 隐患 ， 目 前 在 Intemet 上 的 安全 问题 
中 ， 很 多 攻击 方式 都 是 建立 在 TCP 欺骗 的 基础 之 上 的 。 


3.3.3 Telnet 协议 


Telnet 协议 的 目的 就 是 提供 一 个 相当 通用 的 、 双 向 的 、 面 向 8 位 字 节 的 通信 机 制 。 它 
的 最 初 目的 是 允许 在 终端 和 面向 终端 的 进程 之 间 进 行 交互 。Telnet 不 仅 允 许 用 户 登录 到 一 
个 远程 主机 上 ， 它 还 允许 用 户 在 那 台 计算 机 上 执行 命令 。 这 样 ， 用 户 在 自己 的 局 域 网 里 的 
任何 一 台 计 算 机 上 就 可 以 Telnet 到 清华 大 学 计算 机 校园 网 络 上 的 一 台 计 算 机 ， 并 在 这 台 计 
算 机 上 运行 程序 。Telnet 没有 图 形 功能 ， 它 仅 提供 基于 字符 界面 的 访问 。 

即使 GUI 应 用 程序 被 广泛 采用 ，Telnet 这 个 建立 在 字符 基础 上 的 应 用 程序 ， 仍 相当 地 
流行 。 其 原因 是 : 

(1) Telnet 允许 用 户 以 很 小 的 网 络 资源 花费 实现 各 种 功能 (如 收发 电子 邮件 )。 

(2) 实 现 安全 的 Telnet 是 件 十 分 简单 的 事 , 有 许多 这 样 的 程序 , 通用 的 是 Secure Shell。 
要 使 用 Telnet， 用 户 必须 指定 启动 Telnet 客户 的 命令 ， 并 在 后 面 指定 目标 主机 的 名 字 。 在 
Linux 中 ， 可 以 表示 为 “Stelnet sctc .edu.cn”， 这 个 命令 启动 Telnet， 连 接 到 sctc.edu.cn 网 络 
的 一 个 服务 器 上 。 这 个 连接 可 能 被 接受 ， 或 被 拒绝 ， 这 与 目标 主机 的 配置 有 关 。 
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TeInet 并 不 是 一 种 非常 安全 的 服务 ， 虽 然 登 录 时 它 要 求 用 户 认 证 。 由 于 Telnet 发 送 的 
舍 息 都 未 加 密 ， 所 以 信息 容易 被 网 络 监听 。 仅 当 远 程 计算 机 及 其 与 本 地 站 点 之 间 的 网 络 通 
这 安全 时 ，Telnet 才 是 安全 的 。 这 就 意味 着 在 Intemet 上 Telnet 是 不 安全 的 。 

除了 Telnet 外 ， 还 有 几 种 程序 能 用 于 远程 终端 访问 和 执行 程序 ， 如 rlogin、rsh 和 on。 
在 受托 的 环境 里 使 用 这 些 程序 ， 允 许 用 户 远程 登录 而 无 须 重新 输入 口令 。 他 们 登录 的 主机 
相信 用 户 所 用 的 主机 已 对 其 用 户 做 过 认证 。 但 是 使 用 这 几 个 r 命令 是 特别 不 安全 的 ， 容 易 
受到 IP 欺骗 和 名 字 欺 骗 以 及 其 他 的 欺骗 技术 的 攻击 ， 因 此 ， 托 管 主机 模式 并 不 适合 在 
Internet 上 使 用 。 

在 设 有 防火 墙 保护 的 网 络 内 使 用 rlogin 和 rsh 是 可 以 的 ,这 取决 于 企业 内 部 的 安全 措施 。 
然而 ，on 依靠 客户 机 程序 进行 安全 检查 ， 每 个 人 都 可 以 假冒 客户 机 而 回避 检查 。 因 此 ，on 
是 很 不 安全 的 ， 即 使 在 设 有 防火 墙 的 局 域 网 内 使 用 也 是 如 此 ， 因 此 最 好 使 on 命令 失效 。 


3.3.4 文件 传输 协议 FTP 


文件 传输 协议 FTP 是 从 一 个 系统 向 另 一 个 系统 传递 文件 的 标准 方法 。 它 的 目标 是 : 

回 ”促进 文件 和 程序 的 共享 。 

回 “鼓励 间接 和 含蓄 地 使 用 远程 计算 机 。 

回 ” 使 用 户 不 必 面 对 主机 间 使 用 的 不 同 的 文件 存储 系统 。 

回 ”有效 和 可 靠 地 传输 文件 。 

FTP 应 用 在 C/S (Client/Server) 环境 。 请 求 计算 机 启动 一 个 FTP 客户 端 软件 ， 这 就 给 
目标 文件 服务 器 发 出 了 一 个 请 求 。 典 型 的 是 ， 这 个 要 求 被 送 到 端口 21。 一 个 连接 建立 起 来 
后 ， 目 标 文件 服务 器 必须 运行 一 个 FTP 服务 软件 。 

大 多 数 站 点 担心 的 是 用 户 会 带 入 有 破坏 性 的 软件 以 及 一 些 计算 机 游戏 、 盗 版 软件 和 黄 
色 图 片 ， 这 些 东西 花费 大 量 的 时 间 并 占用 磁盘 空间 ， 但 这 并 不 是 主要 的 安全 危险 。 在 进行 
FTP 传输 时 应 当 注 意 ， 千 万 不 要 轻信 通过 FTP 传 来 的 任何 软件 。 

对 于 使 用 匿名 FTP 服务 ， 用 户 可 以 用 “匿名 ”用 户 名 登录 FTP 服务 器 。 通 常情 况 下 ， 
这 要 求 用 户 提供 完整 的 E-mail 地 址 作为 响应 。 然 而 在 大 多 数 站 点 上 ， 这 个 要 求 不 是 强制 性 
的 ， 只 要 它 看 起 来 像 E-mail 地 址 〈 比 如 是 否 包含 @ 符 号 )， 它 不 对 口令 做 任何 方式 的 校 验 。 
要 确保 匿名 FTP 服务 器 只 能 存 取 允许 存 取 的 信息 ， 不 允许 外 人 存 取 本 机 的 其 他 资料 ， 如 私 
人 资料 等 。 在 FTP 服务 器 处 理 匿名 用 户 命令 前 , 许多 FTP 服务 器 执行 chroot 命令 进入 匿名 
FTP 区 。 然 而 为 了 支持 匿名 FTP 和 用 户 FTP，FTP 服务 器 要 访问 所 有 文件 ， 这 就 是 说 FTP 
服务 器 总 是 在 chroot 环境 中 运行 。 

为 了 解决 这 个 问题 ， 可 以 通过 修改 系统 的 配置 来 代替 直接 启动 FTP 服务 器 ， 它 执行 
chroot， 然 后 再 启动 FTP 服务 器 。 建 立 匿名 FTP 系统 的 具体 技术 依赖 于 操作 系统 使 用 的 特 
定 FTP 管理 程序 (守护 程序 )。 
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匿名 用 户 获取 到 的 不 应 见 到 的 文件 ， 通 常 是 由 于 内 部 客户 将 文件 放 在 匿名 FTP 区 而 实 
现 的 。 如 果 不 希 望 外 界 阅读 自己 的 文件 ， 最 好 不 要 给 匿名 的 FTP 提供 文件 。 匿名 FTP 区 的 
可 写 路 径 无 论 使 用 何 种 FTP 守护 程序 ， 都 将 面临 一 个 特殊 的 问题 ， 匿 名 FTP 区 的 可 写 性 。 


站 点 经 常 为 此 区 提供 空间 ， 以 便 外 部 用 户 能 用 它 上 传 文件 。 


可 写 区 是 非常 重要 的 ， 但 也 有 不 安全 的 因素 。 因 为 这 样 的 可 写 路 径 一 旦 被 发 现 ， 就 会 


被 Intermet 上 的 “地 下 用 户 ” 用 做 “仓库 ”和 非法 资料 的 集散 地 。 
本 宣 小 人 圣 


计算 机 网 络 的 基础 是 网 络 通信 协议 ， 保 证 通信 协议 的 安全 对 计算 机 网 络 的 安全 有 寻 
的 意义 。 


要 


TCP/IP 协议 本 身 在 设计 上 就 是 不 安全 的 ， 主 要 存在 以 下 的 安全 缺陷 ， 网 络 容易 被 窃听 


和 欺骗 ，TCP/IP 服务 的 脆弱 性 ， 缺 乏 安全 策略 ， 配 置 的 复杂 性 。 
习 通 


一 、 填 空 是 


1. TCP/IP 模型 TCP/IP 协议 簇 中 最 重要 的 两 个 核心 协议 是 ”协议 与 
协议 。 

2. 说 TCP/IP 协议 本 身 在 设计 上 就 是 不 安全 的 ， 主 要 存在 

和 的 安全 缺陷 。 

3. 电子 欺骗 是 针对 等 协议 的 攻击 。 

4. IP 欺骗 ， 就 是 伪造 他 人 的 。 

5. 基于 TCP/IP 协议 的 Intemet 服务 有 
等 。 


二 、 简 答题 


. 什么 是 TCP/IP 协议 ? 试 述 它 的 工作 原理 。 
.TCP/IP 协议 存在 哪些 安全 问题 ? 

. 网络 本 身 存 在 哪些 安全 问题 ? 

.网 络 为 什么 是 不 安全 的 ? 

.Intemet 上 存在 哪些 威胁 ? 

. 什么 是 电子 欺骗 ? 电子 欺骗 有 哪些 形式 ? 
. FTP 存在 哪些 安全 隐患 ? 如 何 解决 ? 
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本 齐 实 刘 


实 训 Telnet 漏洞 攻击 与 防范 


实 训 目 的 

(1) 了 解 计 算 机 通信 协议 漏洞 的 常见 形式 。 

(2) 掌握 Telnet 漏洞 攻击 与 防范 方法 。 

实 训 环境 

(1) 局 域 网 主机 。 

(2) Windows NT/2000/2003 系统 。 

操作 步骤 

第 1 步 :建立 IPC$ 连 接 ( 假 设 使 用 X-scan 扫描 器 扫描 到 目标 主机 账号 为 administrator”， 
密码 为 空 )， 如 图 3.8 所 示 。 


jj 关 | 


图 3.8 建立 IPC$ 连 接 


第 2 步 : 开启 远程 主机 中 被 禁用 的 Telnet 服务 ， 如 图 3.9 所 示 。 
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图 3.9 开启 远程 主机 中 被 禁用 的 Telnet 服务 
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第 3 步 : 断 开 IPC$ 连 接 :， 如 图 3.10 所 示 。 


71\ipc$ /del 


图 3.10 断 开 IPC$ 连 接 


第 4 步 : 在 本 地 计算 机 上 打开 MS-DOS 界面 ,然后 用 该 MS-DOS 进行 Telnet 登录 ， 如 
图 3.11 所 示 。 


lc: \Ytelnet 19.19.39.71。 


图 3.11 Telnet 登录 


第 5 步 : 输入 telnet 10.10.30.71 命令 并 按 Enter 键 后 ,在 得 到 的 界面 中 输入 y 表示 发 送 
如 图 3.12 所 示 。 如 图 3.13 所 示 为 登录 成 功 后 的 界面 


到 Internet 区 域 中 


图 3.12 在 得 到 的 界面 中 输入 


oft Telnet 服 
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第 6 步 : 如 图 3.13 所 示 为 远程 主机 为 Telnet 终端 用 户 打 开 的 Shell， 在 该 Shell 中 输入 
的 命令 将 会 直接 在 远程 计算 机 上 执行 。 比 如 , 输入 net user 命令 来 查看 远程 主机 上 的 用 户 列 
表 ， 如 图 3.14 所 示 。 


图 3.14 查看 远程 主机 上 的 用 户 列表 


第 7 步 : 防范 方法 : 禁用 Telnet 服务 。 在 服务 列表 中 找到 Telnet， 双 击 打 开 Telnet 服 
务 的 属性 窗口 ， 将 该 服务 的 启动 类 型 设置 为 “禁用 ”。 平 时 禁用 该 服务 ， 需 要 时 启动 。 
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第 4 章 
Windows Server e003 


网 络 安全 与 策略 


> 了 解 Windows Server 2003 系统 新 增加 的 安全 功能 。 
> 熟悉 Windows Server 2003 中 的 用 户 管理 及 其 策略 。 

> 熟悉 Windows Server 2003 的 文件 访问 权限 及 其 策略 。 
> 熟悉 Windows Server 2003 中 的 资源 审核 。 


> 掌握 Windows Server 2003 中 的 用 户 管理 及 其 策略 。 

> 掌握 Windows Server 2003 的 文件 访问 权限 及 其 策略 设置 。 
> 掌握 Windows Server 2003 中 的 资源 审核 的 方法 。 

> 掌握 Windows Server 2003 中 安全 使 用 数字 证 书 的 方法 。 


Windows Server 2003 已 经 成 为 目前 Windows 主流 服务 平台 。 本 章 主要 介绍 与 Windows 
Server 2003 有 关 的 安全 机 制 以 及 涉及 Windows Server 2003 系统 安全 与 策略 的 一 些 技巧 。 


4.1 Windows Server 2003 网 络 实 全 特性 


随 着 Microsoft 公司 .NET 战略 的 不 断 推进 ， 越 来 越 多 的 服务 器 开始 采用 Microsoft 
Windows Server 2003 作为 其 操作 系统 ,提供 Web 服务 、 数 据 库 服务 和 电子 商务 平台 及 其 他 
各 种 程序 应 用 等 。 为 了 保证 Web 服务 、 数 据 库 服 务 和 电子 商务 平台 等 各 种 应 用 、 服 务 的 安 
全 , 操作 系统 自然 要 提供 很 高 的 稳定 性 和 安全 性 .Windows Server 2003 是 在 Windows Server 
2002 的 基础 上 ， 依 据 .NET 架构 进行 构建 ， 提 供 了 更 高 、 更 好 的 安全 性 、 稳 定性 和 可 伸缩 
性 ， 为 服务 器 提供 了 一 个 高 效 的 结构 平台 。 


4.1.1 Windows Server 2003 简介 


随 着 Intemet 的 发 展 ， 企 业已 经 越 来 越 依赖 nternet 来 发 展 自 己 。 企 业内 部 的 Intranet 
已 经 与 Internet 互联 ， 同 时 ，Intemet 规模 也 越 来 越 大 ， 繁 重 的 商务 活动 要 求 企业 的 Intranet 
必须 可 靠 、 高 效 ， 更 加 安全 。Windows Server 2003 系统 提供 的 服务 能 够 创建 更 安全 可 靠 的 
环境 。 

1. Windows Server 2003 的 优点 


Windows Server 2003 作为 Windows 服务 器 产品 ， 其 主要 优点 表现 在 如 下 几 个 方面 。 
(1) 可 靠 。Windows Server 2003 是 最 快 、 最 可 靠 和 最 安全 的 Windows 服务 器 操作 系 
统 之 一 。 它 提供 集成 结构 ， 用 于 确保 商务 信息 的 安全 性 ， 提供 可 靠 性 、 可 用 性 和 可 伸缩 性 ， 
提供 用 户 需要 的 网 络 结构 。 
(2) 高 效 。Windows Server 2003 提供 各 种 工具 ， 人 允许 用 户 部 署 、 管 理 和 使 用 网 络 结 
构 以 获得 最 大 效率 。 它 提供 灵活 易 用 的 工具 ， 有 助 于 使 用 户 的 设计 和 部 署 与 单位 和 网 络 的 
要 求 相 匹配 ; 通过 加 强 策略 、 使 任务 自动 化 及 简化 升级 来 帮助 用 户主 动 管理 网 络 ;， 通过 让 
用 户 自行 处 理 更 多 的 任务 来 降低 支持 开销 。 
(3) 联网 。Windows Server 2003 可 以 帮助 用 户 创建 业务 解决 方案 结构 ， 以 便 与 雇员 、 
合作 伙伴 、 系 统 和 用 户 更 好 地 沟通 。 它 提供 集成 的 Web 服务 器 和 流 媒体 服务 器 ， 帮 助 用 户 
快速 、 轻 松 和 安全 地 创建 动态 Intranet 和 Intemet Web 站 点 ; 提供 集成 的 应 用 程序 服务 器 ， 
帮助 用 户 轻松 地 开发 、 部 署 和 管理 XML Web 服务 ; 提供 多 种 工具 , 使 用 户 得 以 将 XML Web 
服务 与 内 部 应 用 程序 、 供 应 商 和 合作 伙伴 连接 起 来 。 
(4) 经 济 。 与 来 自 Microsoft 公司 的 许多 硬件 、 软 件 和 渠道 合作 伙伴 的 产品 和 服务 相 
结合 ，Windows Server 2003 提供 了 有 助 于 使 用 户 的 结构 投资 获得 最 大 回报 的 选择 。 它 提供 
简单 易 用 的 说 明 性 指南 ;通过 利用 最 新 的 硬件 、 软 件 和 方法 来 优化 服务 器 部 署 ， 从 而 帮助 
用 户 合 并 各 个 服务 器 ; 降低 用 户 的 所 属 权 总 成 本 “TCO)， 使 投资 很 快 就 能 获得 回报 。 \ 人 /1 
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2. Windows Server 2003 的 核心 技术 


Windows Server 2003 依据 .NET 架构 ， 包 含 了 基于 Windows Server 2000 构建 的 核心 技 
术 ， 从 而 提供 了 经 济 的 优质 服务 器 操作 系统 。Windows Server 2003 的 核心 技术 使 机 构 和 员 
工 工作 效率 更 高 ， 并 且 能 更 好 地 沟通 。 其 核心 技术 包括 下 列 内 容 。 

(1) 可 靠 性 。 

Windows Server 2003 的 可 靠 性 通过 可 用 性 、 可 伸缩 性 和 安全 性 来 体现 ， 使 其 成 为 高 度 
可 靠 的 平台 。 

@ 可 用 性 。Windows Server 2003 系统 增强 了 集群 支持 ， 从 而 提高 了 其 可 用 性 。 对 于 
部 署 业务 关键 的 应 用 程序 、 电 子 商务 应 用 程序 和 各 种 业务 应 用 程序 的 单位 而 言 ， 集 群 服务 
是 必 不 可 少 的 , 因为 这 些 服务 大 大 改进 了 单位 的 可 用 性 、 可 伸缩 性 和 易 管 理性 。 在 Windows 
Server 2003 中 ， 集 群 安装 和 设置 更 容易 也 更 可 靠 ， 而 该 产品 增强 的 网 络 功能 ， 提 供 了 更 强 
的 故障 转移 能 力 和 更 长 的 系统 运行 时 间 。Windows Server 2003 系统 支持 多 达 8 个 节点 的 服 
务 器 集群 。 如 果 集 群 中 某 个 节点 由 于 故障 或 维护 而 不 能 使 用 ， 另 一 节点 会 立即 提供 服务 ， 
这 一 过 程 即 为 故障 转移 。Windows Server 2003 还 支持 网 络 负载 平衡 (NLB)， 它 在 集群 中 
各 个 节点 之 间 平 衡 传 入 Intemet 协议 (IP) 通信 。 

@ 可 伸缩 性 。Windows Server 2003 系统 通过 由 对 称 多 处 理 (SMP) 支持 的 向 上 扩展 
和 由 集群 支持 的 向 外 扩展 来 提供 可 伸缩 性 。 内 部 测试 表明 ， 与 Windows Server 2000 相 比 ， 
Windows Server 2003 在 文件 系统 方面 提高 了 性 能 (提高 了 140%), 其 他 功能 (包括 Microsoft 
Active Directory 服务 、Web 服务 器 和 终端 服务 器 组 件 以 及 网 络 服务 ) 的 性 能 也 显著 提高 。 
Windows Server 2003 从 单 处 理 器 解决 方案 扩展 到 32 路 系统 ， 同 时 支持 32 位 和 64 位 处 
理 器 。 

@ 安全 性 。 通 过 Intranet、Extranet 和 Intemet 结合 起 来 ， 各 公司 超越 了 传统 的 局 域 网 
(LAN)。 因此 , 系统 安全 问题 比 以 往 任 何 时 候 都 更 为 严峻 。 通 过 用 户 使 用 反馈 及 技术 支持 ， 
Microsoft 公司 修正 了 大 量 安全 缺陷 和 错误 。Windows Server 2003 在 安全 性 方面 提供 了 许多 
重要 的 新 功能 和 改进 方法 ， 首 先是 包括 一 个 公共 语言 运行 库 ， 这 个 软件 引擎 是 Windows 
Server 2003 的 关键 部 分 ， 它 提高 了 可 靠 性 ， 并 有 助 于 保证 计算 环境 的 安全 。 它 降低 了 错误 
数量 ， 并 减少 了 由 常见 的 编程 错误 引起 的 安全 漏洞 ， 因 此 ， 攻 击 者 能 够 利用 的 弱点 就 更 少 
了 。 公 共 语 言 运行 库 还 验证 应 用 程序 是 否 可 以 无 错误 运行 ， 并 检查 适当 的 安全 性 权限 ， 以 
确保 代码 只 执行 适当 的 操作 。 同 时 ，Microsoft 公司 在 新 版 操作 系统 中 也 升级 了 互联 网 信息 
服务 器 (Intemet Information Services，IS， 目 前 是 8.0 版 本 )， 极 大 地 增强 了 Web 服务 器 的 
安全 性 ，IS6.0 在 交付 时 的 配置 可 获得 最 大 安全 性 。IIS6.0 和 Windows Server 2003 提供 了 
最 可 靠 、 最 高 效 、 连 接 最 通畅 以 及 集成 度 最 高 的 Web 服务 器 解决 方案 , 该 方案 具有 容错 性 、 
请 求 队列 、 应 用 程序 状态 监控 、 自 动 应 用 程序 循环 、 高 速 缓存 以 及 其 他 更 多 功能 。 这 些 功 
能 是 IIS8.0 中 许多 新 功能 的 一 部 分 ， 它 们 使 用 户 得 以 在 Web 上 安全 地 执行 业务 。 

(2) 高 效率 。 

Windows Server 2003 在 许多 方面 都 具有 使 机 构 和 雇员 提高 工作 效率 的 能 力 ， 主 要 包括 
如 下 几 个 方面 。 

@ 文件 和 打印 服务 器 。 任何 IT 机 构 的 核心 都 要 求 对 文件 和 打印 资源 进行 有 效 的 管理 ， 
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同时 又 允许 用 户 安全 地 使 用 。 随 着 网 络 的 扩展 ， 位 于 站 点 上 或 远程 位 置 甚至 合伙 公司 中 的 
用 户 增加 了 ， 管 理 员 面 临 着 不 断 增 长 的 沉重 负担 。Windows Server 2003 系统 提供 了 智能 前 
文件 和 打印 服务 ， 其 性 能 和 功能 都 得 到 提高 ， 从 而 使 用 户 得 以 降低 总 拥有 成 本 。 

@ Active Directory。Active Directory 是 Windows Server 2003 系统 的 目录 服务 。 它 存 
储 了 有 关 网 络 上 对 象 的 信息 ， 并 且 通 过 提供 目录 信息 的 逻辑 分 层 组 织 ， 使 管理 员 和 用 户 易 
于 找到 该 信息 。Windows Server 2003 对 Active Directory 做 了 不 少 改进 ， 使 其 使 用 起 来 更 通 
用 、 更 可 靠 ， 也 更 经 济 。 在 Windows Server 2003 中 ，Active Directory 提供 了 增强 的 性 能 和 
可 伸缩 性 ， 它 允许 更 加 灵活 地 设计 、 部 署 和 管理 单位 的 目录 。 

@ 管理 服务 。 随 着 桌面 计算 机 、 便 携 式 计算 机 和 便携 式 设备 上 计算 量 的 递增 ， 维 护 分 
布 式 个 人 计算 机 网 络 的 实际 成 本 也 显著 增加 了 。 通 过 自动 化 来 减少 日 常 维护 是 降低 操作 成 
本 的 关键 。Windows Server 2003 新 增 了 几 套 重要 的 自动 管理 工具 来 帮助 实现 自动 部 署 ， 包 
括 Microsoft 软件 更 新 服务 (SUS) 和 服务 器 配置 向 导 。 新 的 组 策略 管理 控制 台 (GPMC) 
使 管理 组 策略 更 加 容易 ， 从 而 使 更 多 的 机 构 能 够 更 好 地 利用 Active Directory 服务 及 其 强大 
的 管理 功能 。 此 外 ， 命 令 行 工具 使 管理 员 可 以 从 命令 控制 台 执行 大 多 数 任务 。GPMC 并 不 
包括 在 Windows Server 2003 中 ， 而 是 作为 一 个 独立 的 组 件 出 售 。 

@ 存储 服务 。Windows Server 2003 在 存储 管理 方面 引入 了 新 的 增强 功能 ， 这 使 管理 
及 维护 磁盘 和 卷 、 备 份 和 恢复 数据 以 及 连接 存储 区 域 网 络 SAN) 更 为 简易 和 可 靠 。 

@@ 终端 服务 器 。Windows Server 2003 的 终端 服务 组 件 构建 在 Windows Server 2000 终 
端 组 件 中 可 靠 的 应 用 服务 器 模式 之 上 。 终 端 服 务 可 以 将 基于 Windows 的 应 用 程序 或 
Windows 桌面 本 身 传送 到 几乎 任何 类 型 的 计算 设备 上 ,包括 那些 不 能 运行 Windows 的 设备 。 

(3) 联网 能 

Windows Server 2003 包含 许多 新 功能 ， 以 确保 用 户 所 在 的 组 织 和 用 户 本 身 保持 连接 状 
态 ， 主 要 有 以 下 几 点 。 

@ XML Web 服务 。IIS6.0 是 Windows Server 2003 系统 的 重要 组 件 。 管 理 员 和 Web 应 
用 程序 开发 人 员 需 要 一 个 快速 、 可 靠 的 Web 平台 ， 并 且 它 是 可 扩展 的 和 安全 的 。IS 中 的 
重大 结构 改进 包括 一 个 新 的 进程 模型 ， 它 极 大 地 提高 了 可 靠 性 、 可 伸缩 性 和 性 能 。 默 认 情 
况 下 ，IIS 以 锁定 状态 安装 ， 安 全 性 得 到 了 提高 ， 因 此 系统 管理 员 要 根据 应 用 程序 要 求 来 启 
用 或 禁用 系统 功能 。 此 外 ， 对 直接 编辑 XML 源 数 据 库 的 支持 改善 了 管理 能 

@ 联网 和 通信 。 对 于 面临 全 球 市 场 竞争 挑战 的 单位 来 说 ， 联 网 和 通信 是 当务之急 。 员 
工 需 要 在 任何 地 点 、 使 用 任何 设备 接 入 网 络 。 合 作 伙 伴 、 供 应 商 和 网 络 外 的 其 他 机 构 需要 
与 关键 资源 高 效 地 交互 ， 而 且 安全 性 比 以 往 任何 时 候 都 重要 。Windows Server 2003 系统 的 
联网 改进 和 新 增 功能 扩展 了 网 络 结构 的 多 功能 性 、 可 管理 性 和 可 靠 性 。 

@@ Enterprise UDDT 服务 。 Windows Server 2003 包括 Enterprise UDDI 服务 , 它 是 XML 
Web 服务 的 动态 而 灵活 的 结构 。 这 种 基于 标准 的 解决 方案 使 公司 能 够 运行 他 们 自己 的 内 部 
UDDI 服务 ， 以 供 Intranet 和 Extranet 使 用 。 开 发 人 员 能 够 轻松 而 快速 地 找到 并 重用 单位 内 
可 用 的 Web 服务 。IT 管理 员 能 够 编 录 并 管理 他 们 网 络 中 的 可 编程 资源 。 利 用 Enterprise 
UDDT 服务 ， 公 司 能 够 生成 和 部 署 更 智能 、 更 可 靠 的 应 用 程序 。 Kh 
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@ Windows 媒体 服务 。Windows Server 2003 包括 业内 最 强大 的 数字 流 媒体 服务 。 这 
些 服务 是 Microsoft Windows Media 技术 平台 下 一 个 版 本 的 一 部 分 ， 该 平台 还 包括 新 版 的 
Windows 媒体 播放 器 、Windows 媒体 编辑 器 、 音 频 视 频 编码 解码 器 以 及 Windows 媒体 软件 
开发 工具 包 。 

(4) 可 拥有 成 本 低 。 

由 于 PC 技术 提供 了 最 经 济 的 芯片 平台 , 仅 依靠 PC 就 可 完成 任务 已 成 为 采用 Windows 
Server 2003 的 重要 经 济 动机 。 使 用 Windows Server 2003 中 自 带 的 许多 重要 服务 和 组 件 ,各 
机 构 可 以 迅速 部 署 、 管 理 和 使 用 集成 平台 。 

(5) XML Web 服务 和 .NET。 

MicrosoftNET 已 与 Windows Server 2003 系统 紧密 集成 。 它 使 用 XML Web 服务 使 软件 
集成 程度 达到 了 前 所 未 有 的 水 平 : 分 散 、 模 块 化 的 应 用 程序 通过 Intemet 互相 连接 ， 并 与 其 
他 大 型 应 用 程序 相连 接 。 通 过 集成 到 构成 Microsoft 平台 的 产品 中 ，.NET 提供 了 通过 XML 
Web 服务 迅速 可 靠 地 构建 、 托 管 、 部 署 和 使 用 安全 的 联网 解决 方案 的 能 力 。Microsoft 平台 
提供 了 一 套 联网 所 需 的 开发 人 员工 具 、 用 户 端 应 用 程序 、XML Web 服务 和 服务 器 。 这 些 
XML Web 服务 提供 了 基于 行业 标准 构建 的 可 再 次 使 用 的 组 件 , 这 些 组 件 调用 其 他 应 用 程序 
的 功能 。 调 用 的 方法 独立 于 创建 应 用 程序 、 操 作 系统 、 平 台 或 设备 用 于 访问 它们 的 方法 。 
利用 XML Web 服务 ， 开 发 人 员 可 以 在 企业 内 部 集成 应 用 程序 ， 并 跨 网 络 连接 合作 伙伴 和 
用 户 。 这 种 先进 的 软件 技术 使 合作 成 为 可 能 ， 并 且 所 带 来 的 更 有 效 的 商业 到 商业 和 商业 到 
用 户 的 服务 ， 可 以 对 企业 收入 产生 潜在 的 重要 影响 。 数 百 万 其 他 用 户 可 以 以 各 种 组 合 使 用 
这 些 组 件 。 

3. Windows Server 2003 的 安全 功能 


基于 上 述 的 各 项 核心 技术 ，Windows Server 2003 系统 新 增 了 以 下 多 项 安全 功能 。 

(1) 授权 管理 器 。 授 权 管 理 器 为 应 用 程序 开发 人 员 提供 了 一 个 灵活 框架 ， 可 将 基于 角 
色 的 访问 控制 集成 到 应 用 程序 中 , 而 且 它 为 那些 使 用 这 些 应 用 程序 的 管理 员 提 供 一 种 自然 、 
直观 的 访问 方式 。 授 权 管 理 器 提供 了 可 将 基于 角色 的 访问 控制 集成 到 应 用 程序 的 灵活 的 框 
架 。 它 让 使 用 这 些 应 用 程序 的 管理 员 ， 可 提供 对 那些 与 作业 功能 相关 的 己 分 配 用 户 角 色 进 
行 访问 的 权限 。 授 权 管 理 器 应 用 程序 可 以 将 授权 策略 存储 为 授权 存储 (存储 在 Active 
Directorv 或 XML 文件 中 ) 的 形式 ， 而 且 可 在 运行 时 应 用 授权 策略 。 

(2) 存储 用 户 名 和 密码 。 它 是 Windows Server 2003 系统 的 一 项 功能 ， 用 于 存储 服务 
器 的 用 户 名 和 密码 。 该 功能 允许 用 户 连接 服务 器 时 使 用 的 用 户 名 和 密码 与 登录 网 络 时 使 用 
的 用 户 名 和 密码 不 同 。 用 户 可 以 存储 这 些 用 户 名 和 密码 以 备 将 来 再 使 用 。 

(3) 软件 限制 策略 。 它 使 管理 员 可 防止 软件 应 用 程序 基于 软件 的 哈 希 算法 、 软 件 的 相 
关 文 件 路 径 、 软 件 发 行者 的 证 书 或 寄宿 该 软件 的 Internet 区 域 来 运行 。 使 用 软件 限制 策略 ， 
可 以 标识 软件 并 控制 它 在 本 地 计算 机 、 组 织 单 位 、 域 或 站 点 中 的 运行 能 力 。 

(4) 证 书 颁发 机 构 。 证 书 颁发 机 构 中 含有 大 量 的 改进 和 新 增 的 功能 。 

(5) 受 限 委 派 。 委派 是 允许 服务 模拟 用 户 账户 或 计算 机 账户 以 便 访问 网 络 中 的 资源 的 


\，/ 操作。 如果 服务 是 “受信 任 委 派 ”， 则 该 服务 可 以 模拟 用 户 使 用 其 他 网 络 服务 。 通 过 这 一 新 


的 安全 功能 ， 可 指定 要 信任 的 服务 用 以 委派 服务 器 。 

(6) 有 效 权 限 工具 。 它 计算 指定 用 户 或 组 授予 的 权限 。 该 计算 考虑 组 成 员 身 份 生 效 的 
权限 ， 以 及 从 父 对 象 继承 的 任何 权限 。 它 将 查找 用 户 或 组 作为 其 成 员 的 所 有 域 和 本 地 组 。 

(7) 加 密 文件 系统 (EFS)。 使 用 它 可 以 加 密 保 存在 磁盘 上 的 文件 和 目录 。 

(8) Everyone 成 员 身 份 。 内 置 Everyone 组 包括 Authenticated Users 和 Guests, 但 不 再 
包括 Anonymous 组 的 成 员 。 

(9) 基于 操作 的 审核 。 它 提供 了 更 多 描述 性 的 审核 事件 ， 而 且 提供 机 会 让 使 用 者 可 以 
选择 在 审核 对 象 访 问 时 要 审核 的 操作 。 


4.1.2 ”Windows Server 2003 安全 概述 


Windows Server 2003 系统 的 安全 模型 的 主要 功能 是 用 户 身 份 验证 、 访 问 控制 及 Active 
Directory 目录 服务 。 

1， 身 份 验证 

身份 验证 指 的 是 用 于 验证 实体 或 对 象 是 否 与 自己 所 声明 的 实体 或 对 象 相同 的 过 程 ， 包 
括 确认 信息 的 来 源 和 完整 性 。 身 份 验证 是 系统 安全 的 一 个 基础 方面 ， 它 将 对 尝试 登录 到 域 
或 访问 网 络 资源 的 任何 用 户 进行 身份 确认 。 身 份 验证 包括 下 列 两 种 方式 。 

(1) 交互 式 登录 : 向 用 户 的 本 地 计算 机 或 Active Directory 账户 确认 用 户 的 身份 。 

(2) 网 络 身份 验证 : 向 用 户 尝 试 访问 的 任何 网 络 服 务 确认 用 户 的 身份 。 要 提供 这 种 类 
型 的 身份 验证 ， 安 全 系统 将 包括 下 面 这 些 身 份 验证 机 制 : Kerberos V5、 公 钥 证 书 、 安 全 套 
接 字 层 /传输 层 安 全 性 (SSLiTLS)、 摘 要 和 NTLM (与 Windows NT 4.0 系统 兼容 )。 

Windows Server 2003 系统 的 身份 验证 是 对 所 有 网 络 资源 的 单一 登录 。 单 一 登录 允许 用 
户 使 用 一 个 密码 或 智能 卡 一 次 登录 到 域 ， 然 后 向 域 中 的 任何 计算 机 验证 身份 。 尝 试 对 用 户 
进行 身份 验证 时 ， 可 使 用 多 种 工业 标准 类 型 的 身份 验证 ， 这 将 由 多 种 因素 来 决定 。 表 4.1 
列 出 了 Windows Server 2003 系统 支持 的 身份 验证 类 型 。 


表 4.1 Windows Server 2003 系统 支持 的 身份 验证 类 型 


身份 验证 类 型 描 述 
与 密码 或 智能 卡 一 起 使 用 以 进行 交互 登录 的 协议 ， 它 也 是 对 
服务 进行 网 络 身份 验证 的 默认 方法 


用 户 尝 试 访问 安全 的 Web 服务 器 时 将 使 用 的 协议 


Kerberos V5 身份 验证 


安全 套 接 字 层 /传输 层 安全 性 SSLIiTLS) 
身份 验证 


NTLM 身份 验证 当 客户 端 或 服务 器 使 用 早期 版 本 的 Windows 时 将 使 用 的 协议 
摘要 式 验 证 摘要 式 验 证 将 凭据 作为 MD5 哈 希 或 消息 摘要 在 网 络 上 传递 
Passport 身份 验证 Passport 身份 验证 是 可 提供 单一 登录 服务 的 用 户 身份 验证 服务 


单一 登录 使 用 户 在 访问 网 络 上 的 资源 时 不 必 重 复 提供 凭据 。 对 于 Windows Server 2003 
系统 来 说 , 用 户 访问 网 络 资源 时 只 需要 验证 一 次 ,随后 的 身份 验证 对 该 用 户 而 言 是 透明 的 。 
除 此 之 外 ，Windows Server 2003 系统 的 身份 验证 还 包括 双 因素 的 身份 验证 ， 例 如 智能 
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2. 基于 对 象 的 访问 控制 

访问 控制 是 批准 用 户 、 组 和 计算 机 访问 网 络 上 的 对 象 的 过 程 。 访 问 控 制 的 主要 内 容 是 
权限 、 用 户 权利 和 对 象 审核 。 

(1) 权限 。 权 限定 义 了 授予 用 户 或 组 对 某 个 对 象 或 对 象 属性 的 访问 类 型 。 权 限 被 应 用 
到 任何 受 保护 的 对 象 ， 例 如 文件 、Active Directory 对 象 或 注册 表 对 象 。 权 限 可 以 授予 任何 
用 户 、 组 或 计算 机 。 设 置 权 限 ， 就 是 为 组 和 用 户 指定 访问 级 别 。 例 如 ， 可 以 在 打印 机 上 设 
置 类 似 的 权限 ， 使 某 些 用 户 可 以 配置 打印 机 ， 而 其 他 用 户 只 能 使 用 其 打印 。 

(2) 用 户 权利 。 用 户 权 利 授予 计算 环境 中 的 用 户 和 组 特定 的 特权 和 登录 权利 。 

(3) 对 象 审核 。 可 以 审核 用 户 对 对 象 的 访问 情况 。 可 以 使 用 事件 查看 器 在 安全 日 志 中 
查看 这 些 与 安全 相关 的 事件 。 

在 Windows Server 2003 系统 中 ,通过 用 户 身 份 验证 ， 系 统 允许 管理 员 控 制 对 网 上 资源 
或 对 象 的 访问 。 管理 员 通 过 将 安全 描述 符 分 配给 存储 在 Active Directory 中 的 对 象 来 实现 访 
问 控制 。 安 全 描述 符 列 出 了 允许 访问 对 象 的 用 户 和 组 ， 以 及 分 配给 这 些 用 户 和 组 的 特定 权 
限 。 安 全 描述 符 还 指定 了 为 对 象 审核 的 不 同 访问 事件 。 文 件 、 打 印 机 和 服务 都 是 对 象 的 示 
例 。 通 过 管理 对 象 的 属性 ， 管 理 员 可 以 设置 权限 、 分 配 所 有 权 以 及 监视 用 户 访 问 。 

管理 员 不 仅 可 以 控制 对 特殊 对 象 的 访问 , 也 可 以 控制 对 该 对 象 特定 属性 的 访问 。 例如 ， 
通过 适当 配置 对 象 的 安全 描述 符 ， 用 户 可 以 被 允许 访问 一 部 分 信息 ， 如 只 访问 员工 姓名 和 
电话 号 码 ， 而 不 能 访问 他 们 的 家 庭 住址 。 安 全 描述 符 是 一 种 数据 结构 ， 包 含 与 受 保护 的 对 
象 相关 联 的 安全 信息 。 安 全 描述 符 包括 有 关 对 象 所 有 者 、 能 访问 对 象 的 人 员 及 其 访问 方式 
以 及 受审 核 的 访问 类 型 等 方面 的 信息 。 

3，Active Directory 目录 服务 


Active Directory 是 基于 Windows 的 目录 服务 。Active Directory 存储 有 关 网 络 上 对 象 的 
信息 ， 并 让 用 户 和 网 络 管理 员 可 以 使 用 这 些 信息 。Active Directory 允许 网 络 用 户 使 用 单个 
登录 进程 来 访问 网 络 中 任意 位 置 的 许可 资源 。 它 为 网 络 管理 员 提供 了 直观 的 网 络 层 次 视图 
和 对 所 有 网 络 对 象 的 单 点 管理 。 这 些 对 象 通常 包括 共享 资源 ， 如 服务 器 、 卷 、 打 印 机 、 网 
络 用 户 和 计算 机 账户 。 

Active Directory 通过 使 用 对 象 和 用 户 凭据 的 访问 控制 ， 提 供 了 对 用 户 账户 和 组 信息 的 
保护 存储 。 由 于 Active Directory 不 仅 存储 用 户 凭据 ， 还 存储 访问 控制 信息 ， 因 此 ， 登 录 到 
网 络 的 用 户 将 同时 获得 访问 系统 资源 的 身份 验证 和 授权 。 例 如 ， 用 户 登录 到 网 络 时 ， 安 全 
系统 通过 存储 在 Active Directory 上 的 信息 来 验证 用 户 。 然 后 ， 当 用 户 试图 访问 网 络 上 的 服 
务 时 ， 系 统 检查 由 随机 访问 控制 列表 为 这 一 服务 定义 的 属性 。 

由 于 Active Directory 人 允许 管理 员 创建 组 账户 ， 因 此 管理 员 可 以 更 有 效 地 管理 系统 的 安 
全 性 。 例 如 ， 通 过 调整 文件 属性 ， 管 理 员 可 以 允许 组 中 的 所 有 用 户 读 取 文 件 。 

Windows Server 2003 系统 通过 登录 验证 以 及 目录 中 对 象 的 访问 控制 ， 将 安全 性 集成 到 
Active Directory 中 。 通 过 一 次 网 络 登 录 ， 管 理 员 可 管理 整个 网 络 中 的 目录 数据 和 单位 ， 而 
且 获 得 授权 的 网 络 用 户 可 访问 网 络 上 任何 地 方 的 资源 。 这 种 基于 策略 的 管理 减轻 了 即使 是 


J 最 复杂 的 网 络 管理 。 


4.2 Windows Server 2003 用 户 实 全 策 咯 


Windows Server 2003 作为 一 款 网 络 操 作 系 统 产 品 ， 其 上 有 许多 网 络 应 用 程序 和 服务 在 
运行 ，Windows Server 2003 的 安全 ， 直 接 决 定 了 这 些 应 用 程序 和 服务 的 安全 ， 特 别 是 在 
Windows Server 2003 作为 网 络 中 的 域 控 制 器 时 ， 一 旦 发 生 安 全 事故 ， 将 使 得 整个 域 中 的 用 
户 无 法 正常 地 进行 用 户 身份 验证 ， 从 而 影响 应 用 程序 和 服务 的 使 用 。 怎 样 设置 安全 的 域 用 
户 策略 ， 使 得 域 中 用 户 正常 访问 网 络 ， 正 是 本 节 将 要 探讨 的 内 容 。 


4.2.1 Windows Server 2003 账户 策略 和 本 地 策略 


在 设置 安全 的 用 户 策略 前 ， 首 先 来 了 解 一 下 什么 是 安全 设置 和 安全 策略 。 在 Windows 
Server 2003 中 ， 安 全 设置 和 安全 策略 是 配置 在 一 台 或 多 台 计算 机 上 的 规则 ， 用 于 保护 计算 
机 或 网 络 上 的 资源 。 安 全 设置 可 以 控制 下 列 几 项 内 容 。 

(1) 用 户 访问 网 络 或 计算 机 的 身份 认证 方式 。 

(2) 授权 给 用 户 的 可 以 使 用 的 资源 。 

(3) 无 论 用 户 的 或 者 组 的 操作 都 被 记录 在 事件 日 志 中 。 

(4) 组 成 员 。 

在 Windows Server 2003 中 ,用户 账户 有 两 种 ， 分 别 是 本 地 用 户 和 组 、 域 用 户 和 组 。 对 
于 本 地 用 户 和 组 ， 将 在 4.3 节 中 进行 讨论 ， 本 节 将 详细 介绍 域 用 户 和 组 及 其 安全 策略 的 
设置 。 

在 Active Directory 中 ， 用 户 账 户 和 计算 机 账户 代表 物理 实体 ， 如 计算 机 或 人 。 用 户 账 
户 也 可 用 作 某 些 应 用 程序 的 专用 服务 账户 。 用 户 账 户 和 计算 机 账户 〈 以 及 组 ) 也 称 为 安全 
主体 ， 是 被 自动 指派 了 安全 标识 符 〈SID) 〈 可 用 于 访问 域 资 源 ) 的 目录 对 象 。 用 户 或 计算 
机 账户 用 于 下 列 几 个 方面 。 

(1) 验证 用 户 或 计算 机 的 身份 。 用 户 账户 使 用 户 能 够 利用 经 域 验证 后 的 标识 登录 到 计 
算 机 和 域 。 登 录 到 网 络 的 每 个 用 户 应 有 自己 的 唯一 账户 和 密码 。 

(2) 授权 或 拒绝 访问 域 资源 。 一 旦 用 户 已 经 通过 身份 验证 ， 那 么 就 可 以 根据 指派 给 该 
用 户 的 关于 资源 的 显 式 权限 ， 授 予 或 拒绝 该 用 户 访问 域 资源 。 

(3) 管理 其 他 安全 主体 。Active Directory 在 本 地 域 中 创建 外 部 安全 主体 对 象 ， 用 以 表 
示 信 任 的 外 部 域 中 的 每 个 安全 主体 。 

(4) 审核 使 用 用 户 或 计算 机 账户 执行 的 操作 。 审 核 有 助 于 监视 账户 的 安全 性 。 

账户 策略 包含 3 个 子 集 ， 分 别 如 下 。 

(1) 密码 策略 。 用 于 域 或 本 地 用 户 账户 ， 确 定 密码 设置 (如 强制 执行 和 有 效 期 限 )。 

(2) 账户 锁定 策略 。 用 于 域 或 本 地 用 户 账户 ,确定 某 个 账户 被 系统 锁定 的 情况 和 时 间 
长 短 。 

(3) Kerberos 策略 。 用 于 域 用 户 账户 ,确定 与 Kerberos 相关 的 设置 (如 票证 的 有 效 期 
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限 和 强制 执行 )。 

对 于 域 账 户 ， 只 有 一 种 账户 策略 。 账 户 策略 必须 在 “默认 域 策略 ”中 定义 ， 并 且 由 组 
成 该 域 的 域 控制 器 实施 。 域 控制 器 始终 从 “默认 域 策略 组 策略 对 象 ”中 获得 账户 策略 ， 即 
使 已 经 存在 了 一 个 应 用 到 包括 该 域 控制 器 在 内 的 不 同 账户 策略 。 默认 情况 下 , 加 入 到 域 ( 如 
成 员 计算 机 ) 中 的 工作 站 和 服务 器 会 接收 到 相同 的 账户 策略 ， 以 用 于 本 地 账户 。 然 而 ， 本 
地 账户 策略 可 能 不 同 于 域 账户 策略 ， 例 如 ， 当 为 各 个 本 地 账户 定义 账户 策略 时 ， 即 是 如 此 。 

在 Active Directory 中 ， 每 个 域 用 户 账 户 在 建立 时 ， 都 有 许多 账户 选项 可 以 选择 ， 这 些 
选项 能 够 确定 ， 如 何在 网 上 对 持 有 特殊 用 户 账户 进行 登录 的 人 员 实 施 身份 验证 。 表 4.2 列 


出 了 这 些 账户 选项 。 
表 4.2 域 账户 选项 
账户 选项 描 述 
用 户 下 次 登录 时 需 更 改 密码 “| 强制 用 户 下 次 登录 网 络 时 更 改 密码 
用 户 不 能 更 改 密码 阻止 用 户 更 改 其 密码 
密码 水 不 过 其 防止 用 户 密码 过 期 
使 用 可 逆 的 加 密 保 存 密码 | 多 许 用户 从 Apple 计算 机 登录 Windows 网 络 
账户 已 禁用 防止 用 户 使 用 选 定 的 账户 登录 
要 求 用 户 拥有 智能 卡 来 交互 地 登录 网络 。 用 户 还 必须 具有 连接 到 其 计算 
机 的 智能 卡 读 取 器 以 及 智能 卡 的 有 效 个 人 标识 号 (PIN) 。 当 选择 该 选项 
妈 录 必 须 使 用 智能 卡 
交互 式 登录 必须 使 用 智能 卡 。 | 时 ， 用 户 账户 的 密码 将 被 自动 设置 为 随机 且 复杂 的 值 ， 并 设置 “密码 永 
不 过 期 ”选项 
允许 在 该 账户 下 运行 的 服务 代表 网 络 中 的 其 他 用 户 账户 执行 操 作 ， 对 于 
运行 在 受信 任 委派 的 用 户 账户 《也 称 为 服务 账户 ) 下 的 服务 ， 可 以 模拟 
客户 端 以 获取 运行 该 服务 的 计算 机 或 其 他 计算 机 上 的 资源 的 访问 权 ， 访 
信任 账户 作为 委派 选项 仅 可 用 于 运行 Windows Server 2003 的 域 控制 器 (其 中 域 功能 被 设置 


为 Windows 2000 混合 模式 或 Windows 2000 纯 模 式 ) 。 在 运行 Windows 
Server 2003 的 域 控 制 器 上 其 中 域 功能 级 别 被 设置 为 Windows Server 
2003) ， 使 用 “委派 ”选项 卡 来 配置 委派 设置 。 仅 对 具有 己 指派 SPN 的 
账户 ， 才 显示 “委派 ”选项 卡 
敏感 账户 ， 不 能 被 委派 允许 对 用 户 账 户 进行 控制 ， 例 如 来 宾 账 户 或 临时 账户 
此 账户 需要 使 用 DES 加 密 类 型 | 提供 对 数据 加 密 标准 (DES》〉 的 支持 
、 | 支持 Kerberos 协议 的 备用 实现 。 运 行 Windows 2000 或 Windows Server 
个 要 求 Kerberos 天 身份 验证 |2003 的 域 控制 器 ， 可 使 用 其 他 机 制 来 同步 时 间 


对 于 本 地 策略 ， 这 些 策略 主要 应 用 于 本 地 计算 机 ， 同 样 包含 有 3 个 子 集 。 
(1) 审核 策略 。 确 定 是 否 将 安全 事件 记录 到 计算 机 上 的 安全 日 志 中 。 同 时 也 确定 是 记 
录 登 录 成 功 还 是 记录 登录 失败 ， 或 二 者 都 记录 。 
(2) 用 户 权限 分 配 。 确 定 具 有 登录 本 地 计算 机 的 权利 或 特权 的 用 户 或 组 。 
(3) 安全 选项 。 启 用 或 禁用 计算 机 的 安全 设置 。 
对 于 本 地 策略 ， 管 理 员 应 该 要 十 分 重视 ， 因 为 它 直接 决定 了 服务 器 的 安全 。 不 安全 的 
VE 
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本 地 策略 将 导致 未 经 授权 的 使 用 者 从 本 地 非法 登录 ， 进 而 对 域 帐户 及 策略 做 出 修改 ， 从 而 
导致 整个 网 络 出 现 帐户 策略 安全 故障 。 执 行 “开始 ”一 “运行 ”命令 ， 在 文本 框 中 输入 
gpeditmsc 以 打开 “组 策略 编辑 器 ”窗口 ， 依 次 展开 “计算 机 配置 ”一 “Windows 设置 ” 
一 “安全 设置 ”一 “本 地 策略 ”一 “安全 选项 ”文件 夹 ， 在 其 中 进行 本 地 策略 的 各 种 安全 
设置 ， 如 图 4.1 所 示 。 双 击 其 中 的 任何 一 个 策略 设置 选项 ， 将 出 现 一 个 相应 内 容 的 对 话 框 ， 
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图 4.2 所 示 。 
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图 4.1 “组 策略 编辑 器 ”窗口 图 4.2 “交互 式 登录 ”对 话 框 


4.2.2 。 Windows Server 2003 账号 密码 策略 


当 管 理 员 在 域 中 为 每 位 网 络 用 户 设置 账户 时 ， 通 常会 使 用 一 个 默认 值 来 为 这 些 域 账户 
设置 密码 。 当 账户 交付 给 用 户 后 ， 用 户 能 够 自己 来 重新 设置 密码 。 但 因为 种 种 原因 ， 用 户 
自己 设置 的 密码 往往 不 符合 密码 安全 规定 ， 如 密码 过 于 简单 、 不 够 复杂 等 ， 这 些 都 为 网 络 
安全 带 来 隐患 。 在 网 络 的 使 用 过 程 中 ， 用 户 可 能 会 忘记 自己 的 密码 ， 这 时 需要 管理 员 来 进 
行 用 户 密码 的 恢复 ， 但 不 应 对 用 户 在 域 中 的 其 他 密码 信息 造成 丢失 。 因 此 作为 管理 员 ， 必 
须要 了 解 在 Windows Server 2003 中 有 关 密 码 的 相关 知识 及 其 策略 设置 。 

1.， 安全 密码 

密码 在 保证 企业 网 络 安 全 中 扮演 的 角色 经 常 被 低估 甚至 忽略 。 密 码 为 抵御 对 企业 网 络 
的 非法 访问 构筑 了 第 一 道 防线 。Windows Server 2003 可 以 在 操作 系统 启动 时 检查 
Administrator 账户 密码 的 复杂 程度 。 如 果 密 码 为 空 或 者 不 满足 复杂 性 要 求 ， 将 会 显示 一 个 
警告 框 ， 警 告 操作 者 Administrator 账户 不 使 用 强 密码 可 能 存在 危险 , 如 果 继 续 使 用 空 密码 ， 
可 能 无 法 通过 网 络 访问 该 账户 。 

弱 密码 会 使 得 攻击 者 易于 访问 用 户 的 计算 机 和 网 络 ， 而 强 密码 则 难以 破解 ， 即 使 现在 
的 密码 破解 软件 越 来 越 强 大 。 当 然 ， 只 要 有 足够 时 间 ， 任 何 密码 仍然 能 够 被 破解 。 即 便 如 
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此 ， 破 解 强 密码 也 远 比 破解 弱 密 码 困 难得 多 。 因 此 安全 的 计算 机 需要 所 有 用 户 账户 都 使 用 
强 密码 。 对 于 强 密码 ， 一 般 都 具有 以 下 的 特性 。 

(1) 长 度 至 少 有 7 个 字符 。 

(2) 不 包含 用 户 名 、 真 实 姓 名 或 公司 名 称 。 

(3) 不 包含 完整 的 字典 词汇 。 

(4) 与 先前 的 密码 大 不 相同 。 

同时 ， 强 密码 的 组 成 全 部 包含 下 列 4 组 字符 类 型 。 

(1) 大 写字 母 。 

(2) 小 写字 母 。 

(3) 数字 。 

(4) 键盘 上 的 其 他 字符 (键盘 上 所 有 未 定义 为 字母 和 数字 的 字符 )。 

这 4 组 字符 毫 无 规律 地 排列 在 一 起 构成 密码 ， 例 如 h*54p4e>F。 

需要 注意 的 是 ， 有 的 密码 虽然 可 以 满足 大 多 数 强 密码 的 条 件 ， 但 仍然 较 绊 。 例 如 ， 
love521!， 就 是 一 个 相对 而 言 的 弱 密 码 ， 即 使 它 能 够 满足 成 为 强 密码 的 多 数 条 件 ， 也 能 够 满 
足 密码 策略 的 复杂 性 要 求 。 但 因为 这 个 密码 的 部 分 组 成 仍然 是 有 规律 的 ， 容 易 被 破解 。 
Windows 密码 长 度 最 多 为 127 个 字符 ， 但 Windows 98 支持 的 最 大 密码 长 度 为 14 个 字符 。 

2， 密 码 重 设 盘 

用 户 时 常会 忘记 自己 的 本 地 用 户 账户 的 密码 ， 特 别 是 在 使 用 强 密码 的 情况 下 。 在 密码 
重 设 盘 出 现 前 ， 管 理 员 恢复 被 忘记 的 本 地 用 户 账户 密码 的 唯一 方法 只 有 和 手动 重 设 用 户 的 密 
码 。 但 该 操作 会 造成 以 下 信息 的 丢失 。 

(1) 使 用 用 户 公 钥 加 密 的 电子 邮件 。 

(2) 计算 机 中 保存 的 Internet 密码 。 

(3) 由 用 户 加 密 的 文件 。 

密码 重 设 盘 为 忘记 本 地 用 户 账户 密码 的 用 户 提供 了 另 一 种 解决 方案 。 如 果 用 户 在 忘记 
密码 前 为 自己 的 本 地 账户 创建 了 密码 重 设 盘 ， 则 可 以 重 设 密码 ， 而 不 会 丢失 先前 因 管理 员 
重 设 密码 而 丢失 的 宝贵 数据 。 

在 创建 密码 重 设 盘 时 ， 公 钥 和 私 钥 会 成 对 创建 。 私 钥 存储 在 磁盘 ， 即 密码 重 设 盘 中 ， 
由 公 钥 加 密 本 地 用 户 账户 密码 。 如 果 用 户 忘记 了 密码 ， 则 可 以 插入 包含 有 私 钥 的 密码 重 设 
盘 来 解密 当前 密码 。“ 忘记 密码 向 导 ” 会 提示 用 户 输入 新 的 密码 ， 然 后 用 公 钥 进行 加 密 。 这 
时 数据 将 不 会 丢失 ， 因 为 用 户 只 是 更 改 了 密码 而 已 。 

用 户 如 何 为 自己 的 密码 创建 密码 重 设 盘 呢 ? 很 简单 ， 下 面 的 步 又 将 帮助 用 户 创建 密码 
重 设 盘 〈 以 用 户 使 用 Windows XP 为 例 ，Windows 2000/2003 系统 是 相同 操作 )。 

(1) 按 Ctrl+AlttDel 组 合 键 ， 在 弹出 的 窗口 中 单 击 “ 更 改 密码 ”按钮 。 

(2) 在 “用 户 名 ”文本 框 中 ， 输 入 要 创建 密码 重 设 盘 的 账户 的 用 户 名 。 

(3) 在 “登录 到 ”下 拉 列 表 框 中 选择 输入 的 账户 需要 登录 的 计算 机 名 称 , 然后 单 击 “ 备 
份 ” 按 钮 。 

(4) 按照 “忘记 密码 向 导 ” 窗 口中 的 步骤 进行 操作 ， 直 至 完成 操作 。 最 后 将 密码 重 设 
盘 保 存在 安全 的 地 方 。 
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3. 设置 账户 密码 策略 

密码 策略 作用 于 域 账户 或 本 地 账户 ， 包 含 以 下 几 个 方面 。 
强制 密码 历史 。 

密码 最 长 使 用 期 限 。 

密码 最 短 使 用 期 限 。 

密码 长 度 最 小 值 。 

密码 必须 符合 复杂 性 要 求 。 

用 可 还 原 的 加 密 来 存储 密码 。 

这 些 选项 的 配置 方法 均 需 根据 当前 用 户 账户 类 型 来 选择 。 默 认 情 况 下 ， 成 员 计算 机 的 
配置 与 其 域 控制 器 的 配置 相同 。 为 了 保证 所 有 用 户 创建 的 密码 都 符合 管理 员 所 设置 的 规则 ， 
管理 员 需 要 进行 密码 策略 设置 ， 它 包括 在 域 控制 器 上 进行 密码 策略 设置 、 在 已 加 入 域 的 成 
员 服 务 器 上 进行 密码 策略 设置 ， 及 在 本 地 计算 机 上 进行 密码 策略 设置 。 

1) 设置 域 控制 器 的 密码 策略 

设置 域 控制 器 的 密码 策略 的 步 又 如 下 。 

(1) 在 控制 台 树 中 要 设置 组 策略 的 域 或 组 织 单位 上 右 击 , 在 弹出 的 快捷 菜单 中 选择 “ 属 
性 ”命令 ， 在 弹出 的 对 话 框 中 选择 “组 策略 ”选项 卡 ， 选 择 列表 框 “ 组 策略 对 象 链接 ”中 
的 项 目 以 选择 现 有 的 组 策略 对 象 ， 然 后 单 击 “ 编 辑 ” 按 钮 ， 即 可 打开 “组 策略 编辑 器 ” 窗 
口 。 也 可 单 击 “ 新 建 ”按钮 来 创建 新 的 组 策略 对 象 ， 然 后 再 单 击 “ 编 辑 ” 按 钮 ， 也 可 打开 
“组 策略 编辑 器 ”窗口 ， 如 图 4.3 所 示 。 
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图 4.3 “组 策略 编辑 器 ”窗口 
(2) 在 控制 台 树 中 ， 展 开 “ 计 算 机 配置 ”一 “Windows 设置 ”一 “安全 设置 ”一 “ 账 
户 策略 ”一 “密码 策略 ”文件 夹 ， 在 其 中 进行 密码 策略 的 各 种 安全 设置 ， 如 图 4.4 所 示 。 
双击 其 中 的 任何 一 个 密码 策略 设置 选项 ， 将 出 现 一 个 相应 内 容 的 对 话 框 ， 要 求 操作 者 进行 
参数 的 输入 或 选择 ， 管 理 员 只 需 根据 当前 的 密码 策略 来 进行 操作 即 可 ， 如 图 4.5 所 示 。 
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图 4.4 “密码 策略 ”文件 夹 窗口 图 45 “密码 长 度 最 小 值 属性 ”对 话 框 
2) 设置 域 成 员 服务 器 或 工作 站 的 密码 策略 
对 于 这 种 情形 ， 用 户 的 本 地 密码 策略 配置 方法 如 下 。 


(1) 执行 “开始 ”一 “运行 ”命令 ， 在 “打开 ”文本 框 中 输入 mmc 命令 ， 打开 “ 控 
制 台 1” 窗 口 ， 如 图 4.6 所 示 。 
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此 况 图 中 设 有 可 显示 的 项 目 。 


图 4.6 “控制 台 1” 窗 口 
(2) 在 该 窗口 中 执行 “文件 ”一 “添加 /删除 管理 单元 ”命令 ， 弹 出 如 图 4.7 所 示 的 对 
话 框 。 在 该 对 话 框 中 可 以 添加 在 控制 台 管理 的 管理 单元 。 
(3) 单 击 “ 添 加 ”按钮 ， 弹 出 “添加 独立 管理 单元 ”对 话 框 ， 如 图 4.8 所 示 。 在 该 对 
话 框 中 双击 “组 策略 对 象 编辑 器 ”选项 ， 或 单 击 选择 它 后 再 单 击 “ 添 加 ”按钮 ， 弹 出 “ 选 


择 组 策略 对 象 ”对 话 框 ， 如 图 4.9 所 示 。 在 该 对 话 框 中 要 求 选择 所 添加 的 组 策略 对 象 编辑 
器 所 作用 的 对 象 。 
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FEILTIESEIXIORN 了 添加 独立 管理 单元 21x| 
独立 | 扩展 | 
使 用 此 页 来 二 加 或 各 除 控 制 台 的 外 立 管理 单元 


RT ET 


a uel 
图 4.7 “添加 /删除 管理 单元 ”对 话 框 图 4.8 “添加 独立 管理 单元 ”对 话 框 


为 为 是 设置 成 员 服务 器 或 工作 站 〈 非 本 地 计算 机 ) 的 密码 策略 ， 所 以 单 击 “ 浏 览 ” 按 
钮 ， 打 开 “ 浏 览 组 策略 对 象 ”对 话 框 ， 如 图 4.10 所 示 。 在 该 对 话 框 中 选择 “计算 机 ”选项 
卡 ， 然 后 选中 “ ed 单 选 按钮 ， 然 后 直接 在 下 面 的 文本 框 中 输入 计算 机 IP 地 址 
RE 过 单 击 “ 浏 览 ” 按 钮 ， 打 开 对 话 框 查找 。 

| 


| 欢迎 使 用 组 策略 向 导 划 
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图 49 “选择 组 策略 对 象 ”对 话 杠 图 4.10 “浏览 组 策略 对 象 ”对 话 杠 


(4) 输入 或 者 选择 好 计算 机 后 ， 单 击 “ 确 定 ” 按 钮 返回 到 “选择 组 策略 对 象 ”对 话 框 。 
单 击 “ 完 成 ”按钮 返回 “添加 独立 管理 单元 ”对 话 框 ， 如 果 所 选择 的 成 员 服 务 器 或 工作 站 
与 当前 服务 器 的 网 络 连 接 正 常 的 话 ， 即 可 把 它们 指派 到 组 策略 对 象 编辑 器 中 。 
(5) 单 击 “ 添 加 独立 管理 单元 ”对 话 框 中 的 “关闭 ”按钮 ， 返 回 到 “添加 /删除 管理 
单元 ”对 话 框 , 这 时 可 以 看 到 刚刚 添加 的 组 策略 已 经 显示 出 来 了 ,如 图 4.11 所 示 , 单 击 “ 确 
定 ” 按 钮 返回 到 控制 台 窗口 。 
(6) 依次 单 击 展开 “计算 机 配置 ”一 “Windows 设置 ”一 “安全 设置 ”一 “账户 策略 ” 
一 “密码 策略 ”文件 夹 ， 然 后 在 右边 详细 信息 窗口 中 选择 相应 的 密码 策略 选项 配置 即 可 。 Ct 
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配置 方法 也 是 在 相应 选项 上 右 击 ,在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ,操作 方法 同 前 ， 
参照 即 可 。 
{EE 
| 这 | 扩展 | 
i 合用 此 页 来 添加 或 除 控制 台 的 独立 芝 理 单元 
者 Re 全 fsalafzis 司 田 | 
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图 4.11 “浏览 组 策略 对 象 ”对 话 框 

3) 设置 本 地 的 密码 策略 

对 于 本 地 计算 机 的 用 户 账户 ， 其 密码 策略 设置 是 在 “本 地 安全 设置 ”管理 工具 中 进行 
的 ， 其 操作 步骤 如 下 。 

(1) 执行 “开始 ”一 “运行 ”命令 ， 在 “打开 ”文本 框 中 输入 gpeditmsc， 单 击 “ 确 
定 ” 按 钮 ， 打 开 “ 组 策略 编辑 器 ”窗口 ， 如 图 4.12 所 示 。 
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图 4.12 “组 策略 编辑 器 ”窗口 


(2) 依次 展开 “计算 机 配置 ”一 “Windows 设置 ”一 “安全 设置 ”一 “账户 策略 ”一 
“密码 策略 ”文件 夹 ， 在 其 中 进行 本 地 密码 策略 的 各 种 安全 设置 ， 如 图 4.13 所 示 。 双 击 其 
i Dh 将 出 现 一 个 相应 内 容 的 对 话 框 ， 要 求 操作 者 进行 参数 的 
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输入 或 选择 ， 管 理 员 只 需 根 据 当 前 的 密码 策略 来 进行 操作 即 可 ， 如 图 4.14 所 示 。 
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4) 账户 锁定 策略 

账户 锁定 策略 用 于 域 账 户 或 本 地 用 户 账 户 ， 它 们 确定 某 个 账户 被 系统 锁定 的 情况 和 时 
间 长 短 。 主 要 包含 以 下 3 个 方面 。 

(1) 账户 锁定 时 间 。 该 安全 设置 确定 锁定 的 账户 在 自动 解锁 前 保持 锁定 状态 的 分 钟 数 。 
有 效 范围 从 0 一 99999 分 钟 。 如 果 将 账户 锁定 时 间 设 置 为 0, 那么 在 管理 员 明确 将 其 解锁 前 ， 
该 账户 将 被 锁定 。 如 果 定 义 了 账户 锁定 阔 值 ， 则 账户 锁定 时 间 必 须 大 于 或 等 于 重 置 时 间 
默认 值 为 无 。 因 为 只 有 当 指 定 了 账户 锁定 阔 值 时 ， 该 策略 设置 才 有 意义 。 

(2) 账户 锁定 阔 值 。 该 安全 设置 确定 造成 用 户 账 户 被 锁定 的 登录 失败 尝试 的 次 数 ， 账 
号 被 锁定 后 将 无 法 使 用 ， 除 非 管理 员 进行 了 重新 设置 或 该 账户 的 锁定 时 间 已 过 期 。 登 录 尝 
试 失败 的 范围 可 设置 为 0 一 999 之 间 。 如 果 将 此 值 设 为 0， 则 将 无 法 锁定 账户 。 对 于 使 用 
CtrltAlttDel 组 合 键 或 带 有 密码 保护 的 屏幕 保护 程序 锁定 的 工作 站 或 成 员 服 务 器 计算 机 ， 
失败 的 密码 尝试 计 入 失败 的 登录 尝试 次 数 中 。 默 认 值 为 0。 

(3) 复位 账户 锁定 计数 器 。 该 安全 设置 确定 在 登录 尝试 失败 计数 器 被 复位 为 0 ( 即 0 
次 失败 登录 尝试 ) 之 前 ， 尝 试 登录 失败 之 后 所 需 的 分 钟 数 。 有 效 范围 为 1 一 99999 分 钟 。 如 
果 定 义 了 账户 锁定 阔 值 ， 则 该 复位 时 间 必 须 小 于 或 等 于 账户 锁定 时 间 ， 默 认 值 为 无 。 因 为 
只 有 当 指 定 了 账户 锁定 阔 值 时 ， 该 策略 设置 才 有 意义 。 


4.2.3 ”Kerberos VS 身份 验证 


Kerberos V5 是 域 中 进行 身份 验证 的 重要 安全 协议 。Kerberos V5 协议 同时 要 验证 用 户 
的 身份 和 网 络 服务 ， 这 种 双重 验证 称 为 相互 身份 验证 。 

Kerberos V5 身份 验证 机 制 颁发 用 于 访问 网 络 服务 的 票证 。 这 些 票证 包含 加 密 的 数据 ， 
其 中 包括 加 密 的 密码 ， 用 于 向 请 求 的 服务 确定 用 户 的 身份 。 除 了 输入 密码 或 智能 卡 赁 据 ， 整 


个 身份 验证 过 程 对 用 户 都 是 不 可 见 的 。 在 每 个 Windows Server 2003 域 控制 器 上 的 Active 和 /1_ 
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Directory 目录 服务 中 ,都 有 Kerberos V5 的 一 个 重要 服务 一 一 密 钥 发 行 中 心 (KDC ) 在 运行 ， 
它 存储 了 所 有 客户 端 密码 和 其 他 账户 信息 。Kerberos V5 身份 验证 过 程 按 如 下 方式 进行 工作 。 
(1) 客户 端 系统 上 的 用 户 使 用 密码 或 智能 卡 向 KDC 进行 身份 验证 。 
(2)KDC 为 此 客户 颁发 一 个 特别 的 票证 一 一 授予 式 票证 。 客户 端 系统 使 用 票证 (TGT) 
访问 票证 授予 服务 (TGS)， 这 是 域 控制 器 上 的 Kerberos V5 身份 验证 机 制 的 一 部 分 。 
(3) TGS 接着 向 客户 颁发 服务 票证 。 
(4) 客户 向 请 求 的 网 络 服务 出 示 服 务 票证 。 服务 票证 向 此 服务 证 明 用 户 的 身份 ， 同 时 
也 向 该 用 户 证 明 服务 的 身份 。 

Kerberos V5 服务 安装 在 每 个 域 控制 器 上 ， 并 且 Kerberos V5 客户 端 安装 在 每 个 工作 站 
和 服务 器 上 。 每 个 域 控制 器 作为 KDC 使用。 客户 端 使 用 域名 服务 (DNS) 定位 最 近 的 可 用 
域 控制 器 。 域 控制 器 在 用 户 登录 会 话 中 作为 该 用 户 的 首选 KDC 运行 。 如 果 首 选 KDC 不 可 
用 ， 系 统 将 定位 备用 的 KDC 来 提供 身份 验证 。 

对 于 在 安装 过 程 中 所 有 加 入 到 Windows Server 2003 域 的 计算 机 ,都 默认 启用 Kerberos V5 
身份 验证 协议 。Kerberos V5 可 对 域内 的 资源 和 驻 留 在 受信 任 的 域 中 的 资源 提供 单一 登录 。 

可 通过 那些 作为 账户 策略 一 部 分 的 Kerberos V5 安全 设置 ， 来 控制 Kerberos V5 配置 的 
某 些 方面 。 例 如 ， 可 设置 用 户 的 Kerberos V5 票证 生存 周期 。 作 为 管理 员 ， 可 以 使 用 默认 的 
Kerberos V5 策略 ， 也 可 以 更 改 它 以 适应 环境 的 需要 。 需 要 注意 的 是 ，Kerberos V5 策略 不 
存在 于 本 地 计算 机 策略 中 ， 它 仅 出 现在 加 入 到 域 中 的 计算 机 策略 安全 设置 中 。 

使 用 Kerberos V5 进行 成 功 的 身份 验证 ， 需 要 两 个 客户 端 系统 都 必须 运行 Windows 
2000、Windows Server 2003 或 Windows XP Professional 操作 系统 。 如 果 客 户 端 系统 尝试 向 
运行 其 他 操作 系统 的 服务 器 进行 身份 验证 ， 则 使 用 NTLM 协议 作为 身份 验证 机 制 。 

另外 , 使 用 Kerberos V5 进行 身份 验证 的 计算 机 , 必须 使 其 时 间 设 置 在 5 分 钟 内 与 常规 
时 间 服 务 同步 , 否则 身份 验证 将 失败 。 运行 Windows Server 2003、Windows XP 或 Windows 
2000 的 计算 机 将 自动 更 新 当前 时 间 ， 并 将 域 控制 器 用 作 网 络 时 间 服 务 。 

Kerberos V5 策略 主要 包含 以 下 方面 的 内 容 。 

(1) 用 户 登 录 限 制 。 该 安全 设置 确定 Kerberos V5 密 钥 分 发 中 心 (KDC) 是 否 要 根据 
用 户 账 户 的 用 户 权 限 ， 来 验证 每 一 个 会 话 票证 请 求 。 验 证 每 一 个 会 话 票证 请 求 是 可 选 的 ， 
因为 额外 的 步骤 需要 花费 时 间 ， 并 可 能 降低 服务 的 网 络 访问 速度 。 默 认 值 为 已 启用 。 
(2) 服务 票证 最 长 寿命 。 该 安全 设置 确定 使 用 所 授予 的 会 话 票证 可 访问 特定 服务 的 最 
长 时 间 (以 分 钟 为 单位 )。 该 设置 必须 大 于 10 分 钟 并 且 小 于 或 等 于 用 户 票 证 最 长 寿命 设置 。 
如 果 客 户 端 请 求 服务 器 连接 时 出 示 的 会 话 票证 已 过 期 ， 服 务 器 将 返回 错误 消息 。 客 户 端 必 
须 从 Kerberos V5 密 钥 分 发 中 心 (KDC) 请 求 新 的 会 话 票 证 。 然 而 一 旦 连接 通过 了 身份 验 
证 ， 该 会 话 票证 是 否 仍然 有 效 就 无 关 紧 要 了 。 会 话 票证 仅 用 于 验证 和 服务 器 的 新 建 连接 。 
如 果 用 于 验证 连接 的 会 话 票 证 在 连接 时 过 期 ， 则 当前 的 操作 不 会 中 断 。 默 认 值 为 600 分 钟 
(10 小 时 )。 
(3) 用 户 票 证 最 长 寿命 。 该 安全 设置 确定 用 户 票 证 授予 票证 (TGT) 的 最 长 使 用 时 间 
Ny (单位 为 小 时 )。 用 户 TGT 期 满 后 ， 必 须 请 求 新 的 或 “ 续 订 ” 现 有 的 用 户 票证 。 默 认 值 为 
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10 小 时 。 

(4) 用 户 票证 续 订 最 长 寿命 。 该 安全 设置 确定 可 以 续 订 用 户 票 证 授予 票证 (TGT) 的 
期 限 〈 以 天 为 单位 )。 默 认 值 为 7 天。 

(5) 计算 机 时 钟 同步 的 最 大 容 差 。 本 安全 设置 确定 Kerberos V5 所 允许 的 客户 端 时 钟 
和 提供 Kerberos V5 身份 验证 的 Windows Server 2003 域 控制 器 上 的 时 间 的 最 大 差 值 〈 以 分 
钟 为 单位 )。 为 防止 轮番 攻击 ，Kerberos V5 在 其 协议 定义 中 使 用 了 时 间 戳 。 为 使 时 间 戳 正 
常 工作 ， 客 户 端 和 域 控制 器 的 时 钟 应 尽 可 能 地 保持 同步 。 因 为 两 台 计 算 机 的 时 钟 常 常 不 
同步 ， 所 以 管理 员 可 使 用 该 策略 来 设置 Kerberos V5 所 能 接受 的 客户 端 时 钟 和 域 控 制 器 时 
钟 间 的 最 大 差 值 。 如 果 客 户 端 时 钟 和 域 控制 器 时 钟 间 的 差 值 小 于 该 策略 中 指定 的 最 大 时 间 
差 ， 那 么 在 这 两 台 计算 机 的 会 话 中 使 用 的 任何 时 间 戳 都 将 被 认为 是 可 信 的 。 该 设置 并 不 是 
永久 性 的 。 如 果 配 置 该 设置 后 重新 启动 计算 机 ， 那 么 该 设置 将 被 还 原 为 默认 值 。 默 认 值 为 
5 分 钟 。 

如 果 本 地 计算 机 加 入 到 Windows Server 2003 域 中 ， 那 么 在 “组 策略 编辑 器 ”的 “账户 
策略 ”中 将 出 现 Kerberos V5 文件 夹 ， 管 理 员 可 以 像 设 置 账户 策略 一 样 对 Kerberos V5 的 各 
项 参数 进行 设置 。 


4.3 用户 权限 放置 


本 节 所 介绍 的 用 户 及 权限 ， 主 要 针对 的 是 本 地 用 户 及 其 权限 。 

本 地 用 户 位 于 独立 服务 器 的 计算 机 管理 中 ， 用 户 可 以 利用 这 一 组 管理 工具 来 管理 本 地 
或 远程 计算 机 ; 可 以 使 用 本 地 用 户 保护 并 管理 存储 在 本 地 计算 机 上 的 用 户 账户 ;可 以 在 特 
定 计算 机 和 仅 这 台 计 算 机 上 指派 本 地 用 户 账户 的 权限 和 权利 。 

通过 本 地 用 户 ， 可 以 为 用 户 和 组 指派 权利 和 权限 ， 从 而 限制 用 户 和 组 执行 某 些 操作 的 
能 力 。 权 利 可 授权 用 户 在 计算 机 上 执行 某 些 操作 ， 如 备份 文件 和 文件 夹 或 者 关机 ;， 权限 是 
与 对 象 〈 通 常 是 文件 、 文 件 夹 或 打印 机 相 关联 的 一 种 规则 ， 它 规定 哪些 用 户 可 以 访问 该 
对 象 以 及 以 何 种 方式 访问 。 


4.3.1 Windows Server 2003 内 置 账户 及 组 


1.， 内置 账户 

在 安装 运行 Windows Server 2003 的 独立 服务 器 或 成 员 服务 器 时 ,系统 会 自动 创建 一 些 
默认 用 户 账户 ， 其 如 下 所 述 。 

(1) Administrator 账户 。Administrator 账户 具有 对 服务 器 的 完全 控制 权限 ， 并 可 以 根 
据 需要 向 用 户 指 派 用 户 权 利和 访问 控制 权限 。 该 账户 必须 仅 用 于 需要 管理 凭据 的 任务 。 强 
烈 建议 将 此 账户 设置 为 使 用 强 密码 。 

Administrator 账户 是 服务 器 上 Administrators 组 的 成 员 , 且 永 远 也 不 能 从 Administrators 
组 中 删除 Administrator 账户 ， 但 可 以 重 命名 或 禁用 该 账户 。 由 于 大 家 都 知道 “管理 员 ” 存 ph 
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在 于 许多 版 本 的 Windows 上 ， 所 以 重 命名 或 禁用 此 账户 ， 将 使 恶意 用 户 尝 试 并 访问 该 账户 
变 得 更 为 困难 。Administrator 账户 是 首次 设置 服务 器 时 使 用 的 账户 。 在 系统 使 用 者 为 自己 
创建 账户 前 ， 应 使 用 该 账户 进行 工作 。 需 要 指出 ， 即 使 已 经 禁用 了 Administrator 账户 ， 仍 
然 可 以 在 安全 模式 下 使 用 该 账户 访问 计算 机 。 

(2) Guest 账户 。Guest 账户 由 在 这 台 计 算 机 上 没有 实际 账户 的 用 户 使 用 。 如 果 某 个 
用 户 的 账户 己 被 禁用 ,但 还 未 删除 ， 那 么 该 用 户 也 可 以 使 用 Guest 账户 。Guest 账户 不 需要 
密码 。 默 认 情 况 下 ，Guest 账户 是 禁用 的 ， 但 也 可 以 启用 它 。 

可 以 设置 Guest 账户 的 权利 和 权限 ， 设 置 方 式 与 其 他 用 户 一 样 。 默 认 情 况 下 ，Guest 
账户 是 默认 的 Guests 组 的 成 员 ， 该 组 允许 用 户 登 录 服 务 器 。 其 他 权利 及 任何 权限 都 必须 由 
Administrators 组 的 成 员 授予 Guests 组 。 默 认 情 况 下 将 禁用 Guest 账户 ， 并 且 建 议 将 其 保持 
禁用 状态 。 

(3) HelpAssistant 账户 《与 远程 协助 会 话 一 起 安装 )。HelpAssistant 账户 用 于 建立 远 
程 会 话 的 主 账户 。 当 用 户 请 求 远 程 协 助 会 话 时 ， 并 且 具 有 对 计算 机 的 有 限 访问 权 ， 将 自动 
创建 该 账户 。 We 由 “远程 桌面 帮助 会 话 管 理 器 ”服务 管理 ， 在 不 存在 挂 起 的 远 
程 协助 请 求 时 ， 它 会 被 自动 删除 。 


2. 内 置 本 地 组 


组 是 Windows Server 2003 中 对 用 户 账 号 的 一 种 逻辑 单位 , 将 具有 相同 特点 和 属性 的 用 
户 组 合成 一 个 组 ， 其 目的 是 方便 管理 和 使 用 。 

如 果 一 个 服务 器 上 需要 管理 很 多 用 户 ， 其 中 的 某 些 用 户 具有 相同 的 权限 比如 入 事 部 
的 工作 人 员 账 号 权限 几乎 一 致 )， 如 果 单 独 对 每 个 用 户 赋予 权限 ， 管 理 维护 很 不 方便 ， 而 且 
十 分 繁琐 。 建 立 组 后 ， 对 组 赋予 服务 器 的 权限 ， 只 需要 将 用 户 加 入 到 该 组 中 ， 用 户 将 自动 
具备 组 的 权限 。 这 样 管理 和 维护 就 十 分 方便 了 。 

独立 服务 器 上 的 组 又 称 为 本 地 组 。Windows Server 2003 内 置 的 本 地 组 主要 包括 
Administrators、Backup Operators、Guests、Power Users、Remote Desktop Users、Users 等 。 

QD Administrators 组 。 该 组 的 成 员 具 有 对 服务 器 的 完全 控制 权限 ， 并 且 可 以 根据 需要 
向 用 户 指 派 用 户 权 利和 访问 控制 权限 。 管理 员 账 户 也 是 默认 成 员 。 当 该 服务 器 加 入 域 中 时 ， 
Domain Admins 组 会 自动 添加 到 该 组 中 。 由 于 该 组 可 以 完全 控制 服务 器 ， 所 以 向 该 组 添加 
用 户 时 应 谨慎 。 

@ Backup Operators 组 。 该 组 的 成 员 可 以 备份 和 还 原 服务 器 上 的 文件 ， 而 不 管 保护 这 
些 文件 的 权限 如 何 。 这 是 因为 执行 备份 任务 的 权利 要 高 于 所 有 文件 权限 ， 它 们 不 能 更 改 安 
全 设置 。 

@ Guests 组 。 该 组 的 成 员 拥 有 一 个 在 登录 时 创建 的 临时 配置 文件 ， 在 注销 时 ， 该 配置 
文件 将 被 删除 。 来 宾 账户 《默认 情况 下 已 禁用 ) 也 是 该 组 的 默认 成 员 。 

@ Power Users 组 。 该 组 的 成 员 可 以 创建 用 户 账户 ， 然 后 修改 并 删除 所 创建 的 账户 。 
他 们 可 以 创建 本 地 组 ， 然 后 在 他 们 已 创建 的 本 地 组 中 添加 或 删除 用 户 。 还 可 以 在 Power 


、\ Users 组 、Users 组 和 Guests 组 中 添加 或 删除 用 户 。 成 员 可 以 创建 共享 资源 并 管理 所 创建 的 
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共享 资源 。 他 们 不 能 取得 文件 的 所 有 权 、 备 份 或 还 原 目 录 、 加 载 或 卸载 设备 驱动 程序 ， 或 
者 管理 安全 性 以 及 审核 日 志 。 
加 Remote Desktop Users 组 。 该 组 的 成 员 可 以 远程 登录 服务 器 ， 人 允许 通过 终端 服务 登录 。 
@ Users 组 。 该 组 的 成 员 可 以 执行 一 些 常见 任务 ， 例 如 运行 应 用 程序 、 使 用 本 地 和 网 
络 打印 机 以 及 锁定 服务 器 。 用 户 不 能 共享 目录 或 创建 本 地 打印 机 。 默 认 情 况 下 ，Domain 
Users、Authenticated Users 及 Interactive 组 是 该 组 的 成 员 。 因 此 ， 在 域 中 创建 的 任何 用 户 账 
户 都 将 成 为 该 组 的 成 员 。 


4.3.2 用户 权限 设置 


用 户 权 限 是 允许 用 户 在 计算 机 系统 或 网 络 中 执行 任务 ， 用 户 权限 分 配 则 是 确定 哪些 用 
户 或 组 具有 这 些 权 限 。 

一 般 情况 下 ， 用 户 权 限 都 是 由 管理 员 作 为 计算 机 系统 或 网 络 的 安全 设置 的 一 部 分 ， 分 
配给 这 些 计 算 机 或 网 络 的 使 用 者 ， 用 户 权限 可 以 是 针对 单个 用 户 进行 设置 ， 也 可 以 作为 一 
个 组 来 进行 分 配 。 

在 Windows Server 2003 的 “组 策略 编辑 器 ”窗口 中 ， 有 一 个 文件 夹 专门 用 来 对 本 地 用 
户 账号 或 组 进行 权限 设置 ， 管 理 员 可 以 在 其 中 根据 具体 情况 进行 安全 设置 。 

执行 “开始 ”一 “运行 ”命令 ， 在 “打开 ”文本 框 中 输入 gpeditmsc， 单 击 “ 确 定 ” 按 
钮 ， 打 开 如 图 4.15 所 示 的 “组 策略 编辑 器 ”窗口 。 依 次 展开 “计算 机 配置 ”一 “Windows 
设置 ”一 “安全 设置 ”一 “本 地 策略 ”一 “用 户 权 限 分 配 ” 文 件 夹 ， 在 其 中 进行 本 地 用 户 
权限 的 各 种 安全 设置 ， 如 图 4.15 所 示 。 

双击 其 中 的 任何 一 个 用 户 权 限 设置 选项 ， 将 出 现 一 个 相应 内 容 的 对 话 框 ， 要 求 操作 者 
选择 该 权限 的 拥有 者 一 一 用 户 或 组 ， 单 击 “ 添 加 用 户 或 组 ”按钮 即 可 对 用 户 或 组 进行 增加 ， 
而 选择 已 有 的 任何 一 个 用 户 或 组 ， 则 可 以 通过 单 击 “ 删 除 ”按钮 来 删除 该 用 户 或 组 ， 如 
图 4.16 所 示 。 管 理 员 只 需 根据 当前 的 用 户 权 限 安全 策略 来 进行 操作 即 可 。 
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图 4.15 “用 户 权 限 分 配 ” 文 件 夹 图 416 “从 远程 系统 强制 关机 属性 ”对 话 框 \、7/ 
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4.4 Windows Server 2003 数字 证 为 


Windows Server 2003 为 电子 商务 提供 了 一 个 理想 的 平台 , 其 安全 性 包括 证 书 管理 、CA 
(CCertification Authority， 证 书 颁发 机 构 ) 服务 、 公 用 密 钥 基 本 体系 ， 保 证 了 电子 商务 的 开 
展 。 通 过 Windows Server 2003 提供 的 CA 服务 ， 企 业 可 以 为 用 户 颁 发 各 种 电子 证 书 ， 而 每 
个 用 户 或 本 地 计算 机 上 都 有 自己 的 一 个 证 书 管理 器 ， 用 来 存放 和 管理 自己 从 CA 申请 获得 
的 证 书 ， 也 有 自己 所 信任 的 CA 的 根 证 书 。 


4.4.1 证 书 及 证 书 服务 概述 


1. 证 书 

证 书 ， 通 常 是 用 于 身份 验证 及 保证 公开 网 络 上 信息 安全 性 的 数字 文档 。 证 书 将 公 钥 安 
全 地 绑 定 到 持 有 相应 私 钥 的 实体 中 。 证 书 由 证 书 颁发 机 构 (CA) 数字 签名 ， 并 且 可 以 颁发 
给 用 户 、 计 算 机 或 服务 。 接 收 证 书 的 实体 是 证 书 的 “主题 ”。 证书 的 颁发 者 和 签名 者 是 证 书 
颁发 机 构 。 通 常 证 书包 含 以 下 信息 。 
主题 的 公 钥 值 。 
主题 标识 符 信息 (如 名 称 和 电子 邮件 地 址 〉。 
有 效 期 (证 书 的 有 效 时 间 〉。 
颁发 者 标识 符 信息 。 
颁发 者 的 数字 签名 ， 用 来 证 明 主 体 的 公 铀 和 主体 的 标识 符 信 息 之 间 的 绑 定 关 系 是 
否 有 效 。 

证 书 只 有 在 指定 的 期 限 内 才 有 效 ， 每 个 证 书 都 包含 有 效 期 的 起 止 日 期 它们 是 有 效 期 
的 界限 。 一 旦 到 了 证 书 的 有 效 期 ， 到 期 证 书 的 主题 就 必须 申请 一 个 新 的 证 书 。 如 果 在 某 些 
情况 下 必须 撤销 证 书 中 所 声明 的 绑 定 关系 ， 这 时 ， 可 以 由 颁发 者 吊销 该 证 书 。 每 个 颁发 者 
维护 一 个 证 书 吊销 列表 ， 程 序 可 以 使 用 该 列表 检查 任意 给 定 证 书 的 有 效 性 。 
证 书 的 主要 好 处 之 一 是 主机 不 必 再 为 单个 主题 维护 一 套 密码 ， 这 些 单个 主题 进行 访问 
的 先决 条 件 是 需要 通过 身份 验证 。 相 反 ， 主 机 只 需 在 证 书 颁发 者 中 建立 信任 。 当 主机 (如 
安全 Web 服务 器 ) 指派 某 个 颁发 者 为 受信 任 的 根 证 书 颁发 机 构 时 ， 主 机 实际 上 是 信任 该 颁 
发 者 过 去 常用 来 建立 所 颁发 证 书 的 绑 定 关系 的 策略 。 事 实 上 ， 主 机 信任 颁发 者 已 经 验证 了 
证 书 主体 的 身份 。 主 机 通过 将 包含 颁发 者 公 钥 的 颁发 者 自 签名 证 书 放 到 主机 的 受信 任 根 证 
书 颁发 机 构 的 证 书 存储 区 ， 将 该 颁发 者 指定 为 受信 任 的 根 颁 发 机 构 。 中 间 的 或 从 属 的 证 书 
颁发 机 构 受 到 信任 的 条 件 是 它们 拥有 受信 任 根 证 书 颁发 机 构 的 有 效 证 书 路 径 。 
为 证 书 通常 用 来 为 实现 安全 的 信息 交换 建立 身份 并 创建 信任 ， 所 以 证 书 颁 发 机 构 
(CA) 可 以 把 证 书 颁发 给 人 员 、 设 备 〈 例 如 计算 机 ) 和 计算 机 上 运行 的 服务 〈 例 如 IPSec )。 

某 些 情况 下 ， 计 算 机 必须 能 够 在 高 度 信任 涉及 交易 的 其 他 设备 、 服 务 或 个 人 的 身份 的 


SN 情况 下 进行 信息 交换 。 某 些 情况 下 ， 人 们 需要 在 高 度 信任 涉及 交易 的 其 他 个 人 、 计 算 机 或 
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服务 的 身份 的 情况 下 进行 信息 交换 。 运 行 计算 机 的 应 用 程序 和 服务 也 频繁 地 需要 确认 它们 
正在 访问 的 信息 来 自 可 信任 的 信息 源 。 

当 两 个 实体 (如 设备 、 个 人 、 应 用 程序 或 服务 ) 试图 建立 身份 和 信任 时 ， 如 果 两 个 实 
体 都 信任 相同 的 证 书 颁发 机 构 ， 就 能 够 在 它们 之 间 实 现 身 份 和 信任 的 结合 。 一 旦 证 书 主题 
已 呈现 由 受信 任 的 CA 所 颁发 的 证 书 ， 那 么 ， 通 过 将 证 书 主题 的 证 书 存 储 区 存在 它 自己 的 
证 书 存储 区 中 ， 并 且 《〈 如 果 适 用 ) 使 用 包含 在 证 书 中 的 公 钥 来 加 密会 话 密 钥 ， 以 便 随后 所 
有 与 证 书 主题 进行 的 通信 都 是 安全 的 ， 试 图 建立 信任 的 实体 就 可 以 继续 进行 信息 交换 。 

客户 端 计算 机 证 书 可 以 服务 于 多 个 目的 ， 这 些 目 的 大 多 数 是 基于 身份 验证 的 ， 这 就 允 
许 客户 端 使 用 很 多 组 织 的 资源 ， 而 不 需要 为 每 个 资源 分 别 准备 证 书 。 例 如 ， 客 户 端 证 书 可 
能 允许 VPN 连接 ， 还 允许 访问 公司 Intranet 站 点 、 产 品 服务 器 以 及 存储 雇员 数据 的 人 力 资 

很 多 组 织 安装 有 自己 的 证 书 颁发 机 构 ， 并 将 证 书 颁 发 给 内 部 的 设备 、 服 务 和 雇员 ， 以 
创建 更 安全 的 计算 环境 。 大 型 组 织 可 能 有 多 个 证 书 颁发 机 构 ， 它 们 被 设置 在 指向 某 个 根 证 
书 颁发 机 构 的 分 层 结构 中 。 这 样 ， 雇 员 的 证 书 存储 区 中 就 可 能 有 多 个 由 各 种 内 部 证 书 颁发 
机 构 所 颁发 的 证 书 ， 而 所 有 这 些 证 书 颁发 机 构 均 通过 到 根 证 书 颁 发 机 构 的 证 书 路 径 共享 一 
个 信任 链接 。 当 雇员 利用 虚拟 专用 网 (VPN) 从 家 里 登录 到 组 织 的 网 络 时 ，VPN 服务 器 可 
以 提供 服务 器 证 书 以 建立 起 自己 的 身份 。 因 为 公司 的 根 颁 发 机 构 被 信任 ， 而 公司 根 证 书 颁 
发 机 构 颁 发 了 VPN 服务 器 的 证 书 ， 所 以 ,客户 端 计算 机 可 以 使 用 该 连接 :并 且 雇 员 知 道 其 
计算 机 实际 上 连接 到 组 织 的 VPN 服务 器 。 在 数据 可 以 经 过 VPN 连接 进行 交换 之 前 ，VPN 
服务 器 还 必须 能 够 验证 VPN 客户 端的 身份 。 或 者 通过 交换 计算 机 证 书 发 生计 算 机 级 别 的 身 
份 验证 ， 或 者 通过 使 用 点 对 点 协议 (PPP) 身份 验证 方法 ， 发 生 用 户 级 别 的 身份 验证 。 

VPN 服务 器 证 书 还 可 能 服务 于 多 个 目的 。 相 同 证 书 可 能 的 目的 有 确认 电子 邮件 服务 器 、 
Web 服务 器 或 者 应 用 程序 服务 器 的 身份 。 颁 发 证 书 的 证 书 颁发 机 构 决定 每 个 证 书 的 用 途 数 目 。 
2. 证 书 服务 
证 书 服务 提供 了 一 种 可 自 定义 的 服务 ， 用 以 颁发 和 管理 在 使 用 公 钥 技术 的 软件 安全 系 
统 中 所 用 的 证 书 。 企 业 可 以 通过 Windows Server 2003， 使 用 证 书 服务 来 创建 证 书 颁 发 机 构 
(CA)， 并 通过 该 颁发 机 构 来 负责 接收 证 书 申请 、 验 证 申请 中 的 信息 和 申请 者 的 身份 、 颁 
发 证 书 、 吊 销 证 书 以 及 发 布 证 书 吊销 列 表 (CRL )。 

在 Windows Server 2003 中 ， 证 书 服务 可 用 于 下 列 几 个 方面 。 

(1) 使 用 Web 或 Microsoft 管理 控制 台 (MMC) 管理 单元 从 CA 为 用 户 注册 证 书 ， 或 
者 通过 自动 注册 透明 地 为 用 户 注 册 证 书 。 

(2) 根据 CA 所 使 用 的 策略 ， 使 用 证 书 模板 帮助 简化 在 申请 证 书 时 申请 者 必须 做 出 的 
选择 。 

(3) 利用 Active Directory 目录 服务 ， 发 布 信任 的 根 证 书 ， 发 布 已 颁发 的 证 书 ， 发 布 
CRL。 

(4) 使 用 智能 卡 实现 登录 到 Windows Server 2003 域 的 能 
证 书 服务 能 正常 地 对 证 书 进 行 各 种 操作 ， 证 书 策略 在 其 中 起 到 了 很 重要 的 作用 。 所 谓 
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证 书 策略 ， 就 是 一 组 指导 或 规则 ， 在 处 理 证 书 申 请 、 颁 发 证 书 、 吊 销 证 书 和 发 布 CRL 时 使 
用 。 这 些 指导 是 CA 上 的 管理 策略 和 配置 设置 的 组 合 。 

在 Windows Server 2003 中 安装 证 书 服务 时 ， 将 CA 配置 为 具有 默认 规则 和 设置 集 。 这 
些 默 认 规 则 和 设置 集 定义 CA 的 特定 设置 ， 例 如 CA 的 证 书 、 它 的 默认 颁发 行为 以 及 它 的 
密 钥 恢复 代理 。 该 CA 还 可 以 安装 许多 预先 配置 的 证 书 模 板 ， 这 些 模板 用 来 定义 证 书 申请 
必须 拥有 哪些 信息 ， 以 及 如 何 基于 该 模板 处 理 进入 的 证 书 申 请 。 应 用 CA 设置 和 证 书 模板 
设置 ， 以 及 定义 的 管理 准则 的 组 合 ， 就 会 产生 控制 CA 操作 的 证 书 策略 。 

CA 是 一 种 珍贵 的 资源 , 应 当 为 其 提供 高 度 的 保护 。 应 考虑 的 具体 操作 包括 下 列 几 个 方面 。 

(1) 物理 保护 。 由 于 CA 代表 企业 中 的 高 度 信任 实体 ， 因 此 应 该 根据 CA 证 书 的 内 在 
价值 保护 它们 不 被 自 改 。 在 物理 位 置 上 对 CA 服务 器 进行 隔离 ， 服 务 器 放 在 只 允许 安全 管 
理 员 访问 的 房间 ， 这 样 可 大 大 减少 此 类 攻击 的 可 能 性 。 

(2) 还 原 。 如 果 出 现 硬件 故障 ， 则 CA 可 能 会 丢失 。 这 可 能 会 引起 大 量 的 管理 和 操作 
性 问题 ， 而 且 可 阻碍 现 有 证 书 的 吊销 。 证 书 服务 支持 使 用 “备份 ”来 备份 CA， 以 便 能 在 事 
后 还 原 。 这 是 整个 CA 管理 过 程 的 一 个 重要 内 容 。 

(3) 密 钥 管理 。CA 的 密 钥 是 其 最 珍贵 的 财产 ， 因 为 私 钥 提供 了 认证 过 程 中 相互 信任 
的 基础 。 加 密 硬件 设备 可 提供 防 算 改 的 密 钥 存 储 ， 并 将 加 密 操作 与 服务 器 上 运行 的 其 他 软 
件 分 离 ， 这 将 减 小 CA 密 钥 被 泄露 的 可 能 性 。 证 书 服务 支持 其 他 来 源 的 加 密 服务 提供 程序 
(CSP)， 但 是 ，Windows 中 包含 的 文档 只 能 使 用 Windows 包含 的 软件 CSP。 如 果 使 用 其 
他 来 源 的 CSP， 那 么 应 该 与 供应 商 确认 该 CSP 可 与 证 书 服务 一 同 使 用 。 


4.4.2 。 Windows Server 2003 证 书 申 请 


任何 一 个 证 书 要 合法 使 用 就 必须 先 申 请 ， 证 书 申请 必须 由 有 权 访 问 与 公 钥 相关 联 的 私 
钥 的 用 户 、 计 算 机 或 服务 产生 ， 该 公 钥 和 私 钥 对 将 成 为 证 书 的 一 部 分 。 根 据 系统 管理 员 建 
立 的 公 钥 策略 ， 计 算 机 和 服务 可 以 自动 申请 证 书 而 不 受用 户 干 涉 。 此 外 ， 通 过 使 用 注册 代 
理 证 书 , 管理 员 还 可 以 申请 智能 卡 用 户 证 书 和 智能 卡 证 书 ， 以 便 代表 其 他 用 户 登录 到 系统 。 

在 Windows Server 2003 中 ， 主 要 有 两 种 明确 申请 证 书 的 方法 。 

回 ”使 用 证 书 申请 向 导 申 请 证 书 。 

回 ”使 用 Windows Server 2003 证 书 服 务 网 页 申请 证 书 。 

将 证 书 申请 提交 给 Windows Server 2003 企业 证 书 颁 发 机 构 后 ， 该 申请 将 被 立即 处 理 ， 
证 书 申请 将 或 失败 或 被 授予 。 如 果 被 授予 ， 将 颁发 证 书 ， 并 且 系 统 将 提示 使 用 者 安装 证 书 。 
在 将 证 书 申请 提交 给 Windows Server 2003 独立 证 书 颁 发 机 构 时 , 申请 将 被 立即 处 理 , 或 者 ， 
在 默认 情况 下 ， 在 证 书 颁发 机 构 管理 员 批 准 或 拒绝 申请 之 前 ， 该 申请 将 被 视 为 挂 起 。 在 申 
请 被 挂 起 的 情况 下 ， 证 书 申请 者 必须 使 用 证 书 服务 网 页 检查 被 挂 起 证 书 的 状态 。 

下 面 就 以 使 用 证 书 申请 向 导 申 请 证 书 为 例 , 来 说 明 在 Windows Server 2003 中 申请 证 书 
的 步 又。 

(1) 执行 “开始 ”一 “运行 ”命令 ， 弹 出 “运行 ”对 话 框 ， 在 该 对 话 框 的 “打开 ” 文 
本 框 中 输入 mme 命令 ， 打 开 “ 控 制 台 1” 窗 口 ， 如 图 4.6 所 示 。 在 该 窗口 中 执行 “文件 ” 
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一 “添加 /删除 管理 单元 ”命令 ， 弹 出 如 图 4.7 所 示 的 对 话 框 。 在 该 对 话 框 中 添加 在 控制 台 
管理 的 管理 单元 ， 这 里 需 添加 证 书 。 单 击 “ 添 加 ”按钮 ， 弹 出 “添加 独立 管理 单元 ”对 话 
框 ， 在 该 对 话 框 中 单 击 选中 “证 书 ” 选 项 ， 如 图 4.17 所 示 。 单 击 “ 添 加 ”按钮 ， 弹 出 “证 
书 管理 单元 ”对 话 框 ， 如 图 4.18 所 示 。 选 中 “我 的 用 户 账 户 ” 单 选 按钮 ， 单 击 “ 完 成 ” 按 
钮 关闭 该 对 话 框 。 依 次 关闭 “添加 独立 管理 单元 ”对 话 框 、“ 添 加 /删除 管理 单元 ”对 话 框 
可 到 “控制 台 1” 窗 口中 ， 这 时 可 以 看 到 证 书 管理 已 经 出 现在 “控制 台 1” 窗 口中 。 


[ER 商 该 管理 单元 格 始 终 为 下 列 帐 己 管理 证 书 : 
国文 件 严 Mierosoft Corpora. 6 
半 无 线 监 视 器 Microsoft Corpora. 个 服务 帐户 (5) 
翻 性 能 日 志和 警报 Microsoft Corpora 玉 计算 机 帐户 5) 
缉 远 程 点 面 Microsoft Corpora- 
证 书 Microsoft Corpora. 
苞 证 书 湛 发 机 构 Mierosoft Corpora 
证 书 模板 Mierosoft Corpora- 
色 终端 服务 配置 Microsoft Corpora. 
司 组 策略 对 象 编辑 器 Microsoft Corpora. 
ee 副 
nna. 一 个 服务 的 或 一 台 计算 机 的 证 书 
本 mm | 
图 4.17 选择 “证 书 ” 选 项 图 4.18 “证 书 管理 单元 ”对 话 杠 


(2) 在 其 中 展开 “证 书 -当前 用 户 ” 文 件 夹 ， 右 击 “ 个 人 ”文件 夹 ， 在 弹出 的 快捷 菜 
中 执行 “所 有 任务 ”一 “申请 新 证 书 ” 命 令 ， 以 启动 证 书 申请 向 导 。 

(3) 根据 证 书 申请 向 导 中 的 提示 ， 完 成 各 种 参数 的 输入 及 选择 ， 最 后 完成 证 书 申请 。 
需要 注意 的 是 ， 在 证 书 申请 向 导 中 ， 在 选择 “要 申请 的 证 书 的 类 型 ”时 选中 “高 级 ” 复 选 
框 ， 可 以 进行 下 列 几 项 设置 。 

@ 可 以 选择 需 设置 要 使 用 的 加 密 服务 提供 程序 (CSP)。 

@ 可 以 选择 需 设置 与 证 书 关联 的 公 钥 钥 长 〈 以 位 为 单位 )。 

@ 如 果 申 请 者 希望 启用 强 私 钥 保护 ， 可 以 选中 “启用 强 私 钥 保 护 ” 复 选 框 。 启 用 强 私 
钥 保 护 将 确保 在 每 次 使 用 私 钥 时 都 有 提示 信息 。 

@ 如 果 申 请 者 具有 多 个 可 用 的 证 书 颁 发 机 构 (CA)， 可 以 选择 将 颁发 证 书 的 证 书 颁 发 
机 构 的 名 称 。 


4.4.3 Windows Server 2003 证 书信 任 的 管理 


单 
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证 书 申请 完成 并 通过 Windows Server 2003 系统 的 CA 授予 后 ,就 可 以 在 网 络 中 正式 使 
用 了 。 但 证 书 是 有 使 用 时 间 限 制 的 ， 或 者 证 书 的 密 钥 发 生 了 变化 ， 这 些 都 需要 管理 员 或 证 
书 使 用 者 及 时 地 对 证 书 进行 更 新 。 

Windows Server 2003 提供 有 3 种 证 书 管理 方式 , 通过 它们 能 够 方便 、 及 时 地 更 新 证 书 。 

(1) 自动 更 新 受信 任 根 颁发 机 构 。 
使 用 安全 网 站 或 收发 安全 电子 邮件 时 ， 一 般 使 用 证 书 。 从 理论 上 来 说 ， 任 何人 都 可 以 


所 {1 


-高 等 职业 教育 “十 二 五 ”规划 教材 一 S 


。 9 一 高等 职业 教育 “十 二 五 ”规划 教材 


\ 


/ 


第 4 章 Windows Server 2003 网 络 安全 与 策略 | 


颁发 证 书 ， 但 是 为 了 实现 可 靠 的 安全 交易 ， 必 须 由 受信 任 的 实体 或 组 织 来 颁发 证 书 。 在 
Windows Server 2003 中 包含 了 一 个 它 视 为 受信 任 的 颁发 机 构 的 公司 和 组 织 的 列表 。 

一 般 而 言 ， 当 使 用 者 遇 到 浏览 器 或 操作 系统 提供 的 受信 任 颁 发 机 构 列表 以 外 的 颁发 机 
构 颁 发 的 证 书 时 ， 系 统 会 询问 是 否 在 颁发 证 书 的 证 书 颁 发 机 构 (CA) 中 建立 信任 。 需 要 注 
意 的 是 ， 许 多 用 户 都 不 愿意 以 这 种 方式 建立 对 于 颁发 机 构 的 信任 ， 因 为 他 们 用 仅 有 的 有 限 
资源 来 验证 该 CA 的 可 信 度 和 和 颁发 策略 。 

在 Windows Server 2003 中 ， 可 以 使 用 “更 新 根 证 书 ”功能 实现 该 任务 。 默 认 情况 下 ， 
“更 新 根 证 书 ” 处 于 启动 状态 。 启 动 该 项 功能 ， 当 使 用 者 遇 到 由 不 信任 的 根 颁 发 机 构 颁 发 
的 证 书 时 ， 计 算 机 将 联系 Windows Update 网 站 ， 查 看 Microsoft 是 否 已 将 该 CA 添加 到 其 
受信 任 的 颁发 机 构 列 表 中 。 如 果 已 经 添加 ， 则 证 书 将 自动 添加 到 受信 任 证 书 存储 区 中 。 

(2) 管理 第 三 方 证 书 颁发 机 构 的 信任 。 

默认 情况 下 ， 安 装 Windows Server 2003 时 ， 大 量 证 书 颁 发 机 构 (CA) 颁发 的 证 书 ， 
将 列 在 第 三 方 根 证 书 颁发 机 构 物理 存储 区 中 。 第 三 方 根 证 书 颁发 机 构 存 储 区 包含 了 使 用 者 
的 组 织 以 外 的 公司 的 受信 任 的 根 证 书 颁发 机 构 (CA)。 管 理 员 可 在 “组 策略 ”中 选择 “ 仅 
信任 的 根 证 书 颁 发 机 构 ” 选 项 ， 来 禁用 这 些 CA 的 信任 。 用 户 访问 第 三 方 根 证 书 颁发 机 构 
没有 验证 的 任何 安全 网 站 时 ， 他 们 将 收 到 安全 警告 ， 通 知 他 们 不 信任 这 些 站 点 。 

(3) 管理 用 户 选 定 的 证 书 颁发 机 构 的 信任 。 

对 于 使 用 者 来 说 ， 所 有 信任 的 根 证 书 都 存储 在 “受信 任 的 根 证 书 颁发 机 构 ” 下 。 管 理 
员 可 使 用 “组 策略 ”来 禁用 使 用 者 选 定 的 根 证 书 颁发 机 构 (CA) 的 信任 。 网 络 用 户 访问 这 
些 使 用 者 选 定 的 根 证 书 颁发 机 构 未 验证 的 任何 安全 网 站 时 ， 他 们 将 收 到 安全 警报 警告 ， 通 
知 他 们 不 信任 这 些 站 点 。 


4.5 使 用 审核 资源 


审核 功能 用 于 跟踪 用 户 访问 资源 的 行为 与 Windows Server 2003 的 活动 情况 , 这 些 行为 
或 活动 称 为 事件 ， 会 被 记录 到 日 志文 件 内 ， 利 用 “事件 查看 器 ”可 以 查看 这 些 被 记录 的 审 
核 数据 。 建 立 审核 事件 是 安全 的 重要 内 容 之 一 。 通 过 监控 对 象 的 创建 和 修改 可 以 追踪 潜在 
的 安全 问题 ， 有 助 于 确保 用 户 账户 的 可 用 性 ， 并 为 指证 破坏 安全 的 事件 提供 依据 。 


4.5.1 审核 事件 


在 Windows Server 2003 中 ， 可 以 被 审核 并 记录 在 安全 日 志 中 的 事件 类 型 有 以 下 几 种 。 
审核 策略 更 改 。 

审核 登录 事件 。 

审核 对 象 访问 。 

审核 过 程 追踪 。 

审核 目录 服务 访问 。 


同 罗 罗网 多 


审核 特权 使 用 。 
审核 系统 事件 。 
审核 账户 登录 事件 。 
审核 账户 管理 。 


事件 查看 器 


当 Windows Server 2003 系统 出 现 有 误 〈 如 网 卡 故 障 )、 用 户 登 录 / 注 销 的 行为 或 者 应 用 
程序 发 出 错误 信息 等 情况 时 ，Windows Server 2003 会 将 这 些 事件 记录 到 事件 日 志文 件 内 ， 可 
以 利用 “事件 查看 器 ”来 检查 这 些 日 志 ， 看 看 到 底 发 生 了 什么 ， 以 便 做 进一步 的 处 理工 作 。 

Windows Server 2003 的 事件 日 志文 件 分 为 以 下 4 大 类 。 

(1) 系统 日 志 。Windows 2000 会 主动 将 系统 所 产生 的 错误 (如 显示 故障 )、 警告 (如 
CPU 的 利用 率 太 高 ) 与 系统 信息 〈 如 某 个 服务 已 被 启动 了 ) 等 信息 记录 到 系统 日 志 内 。 

(2) 安全 日 志 。 它 会 记录 “审核 策略 ”所 设置 的 事件 发 生 情况 ， 例 如 某 个 用 户 是 否 曾 
经 读 取 过 某 一 个 文件 。 

(3) 应 用 程序 日 志 。 它 是 由 应 用 程序 所 产生 的 错误 、 警 告 或 信息 等 事件 记录 到 此 日 志 
文件 内 。 例 如 若 数据 库 程序 有 误 时 ， 它 可 以 将 此 错误 记录 到 应 用 程序 日 志 内 。 

(4) 目录 服务 日 志 。 它 会 记录 由 Active Directory 所 发 出 的 诊断 或 错误 信息 。 这 个 日 
志 只 存在 于 域 控制 器 内 。 

1， 查 看 事件 记录 

可 以 通过 以 下 两 种 方法 来 启动 “事件 查看 器 ”。 

(1) 执行 “我 的 电脑 ”一 “管理 ”一 “系统 工具 ”一 “事件 查看 器 ”命令 。 

(2) 执行 “开始 ”一 “程序 ”一 “管理 工具 ”一 “事件 查看 器 ”命令 。 

打开 “事件 查看 器 ”窗口 ， 如 图 4.19 所 示 ， 其 右边 窗 格 是 “系统 ”日 志文 件 的 记录 信 

息 ， 图 中 每 一 行 代表 一 个 事件 ， 它 提供 了 以 下 信息 。 
(1) 类 型 : 此 事件 的 类 型 ， 如 错误 、 警 告 、 信 息 等 。 
(2) 日 期 与 时 间 : 此 事件 被 记录 的 日 期 与 时 间 。 
(3) 来 源 : 记录 此 事件 的 程序 名 称 。 
(4) 分 类 : 产生 此 事件 的 程序 可 能 会 将 其 信息 分 类 ， 此 分 类 信息 会 被 显示 在 “分 类 ” 


加 加 罗网 


4.5. 


ko 


列 中 


(5) 事件 : 每 个 事件 都 会 被 赋予 一 个 唯一 的 号 码 ， 这 个 号 码 显示 在 这 个 “事件 ” 列 中 。 
(6) 用 户 : 当 事 件 发 生 时 ， 正 在 使 用 此 计算 机 的 用 户 ， 或 者 制造 此 事件 的 用 户 。 
(7) 计算 机 : 发 生 此 事件 的 计算 机 名 称 。 
若 要 查看 事件 的 详细 信息 ， 请 直接 双击 该 事件 或 右 击 该 事件 并 选择 “属性 ”命令 ， 将 
出 现 如 图 4.20 所 示 的 对 话 框 。 

如 果 要 清除 某 个 日 志 《〈 系 统 、 安 全 、 应 用 程序 等 ) 内 的 所 有 事件 ， 则 只 要 右 击 该 日 志 
文件 并 选择 “清除 所 有 事件 ”命令 或 在 图 4.21 中 单 击 “ 清 除 日 志 ” 按 钮 即 可 。 
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2. 设置 日 志文 件 的 大 小 

可 以 针对 每 个 日 志文 件 〈 系 统 、 安 全 、 应 用 程序 等 ) 来 更 改 其 设置 ， 例 如 ， 日 志文 件 
容量 的 大 小 等 。 设 置 时 请 选中 该 日 志文 件 名 , 单 击 鼠 标 右键 , 在 弹出 的 快捷 菜单 中 选择 “ 属 
性 ”一 “常规 ”命令 ， 将 出 现 如 图 4.21 所 示 的 对 话 框 。 


EEEGm :3 
事件 详细 信息 | 


日 期 多: 2012-11-1: 来 源 @@);， Security + 
时 间 旭 : 13:59:34 ”类 别 旭 ;登录 /注销 
类 型 加: 审 梳 成功。 事件 DQL): S29 + 
用 PD: WT AVTHORITI\LOCAL SERVICE 多 
[amrmfa oy 
] 并) 坦 看 || + 十 | 全 | 四 | 加 | 区 PY 
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图 4.19 事件 查看 器 图 4.20 事件 的 详细 信息 
(1) 最 大 日 志文 件 大 小 : 用 来 设置 该 日 志文 件 的 大 小 ， 默认 为 S12KB， 可 以 增加 或 减 
少 其 值 ， 不 过 日 志文 件 的 大 小 必须 是 64KB 的 倍数 。 
(2) 当 达 到 最 大 的 日 志 尺寸 时 : 用 来 设置 当日 志文 件 满载 时 , 应 该 如 何 记录 新 的 事件 。 
回 ” 按 需要 改写 事件 : 继续 记录 新 的 事件 ， 但 是 会 将 旧 的 事件 覆盖 掉 。 
回 ”改写 久 于 XX 天 的 事件 : 会 将 X X 天 前 的 旧事 件 覆 盖 掉 ， 以 便 继续 记录 新 的 事件 。 
回 ”改写 事件 : 不 会 继续 记录 新 的 事件 ， 此 时 必须 以 手动 方式 清除 日 志文 件 。 
(3) 清除 日 志 : 将 此 日 志文 件 清除 ， 如 果 需 要 的 话 ， 可 以 在 清除 之 前 先 将 此 数据 存盘 
(通过 右 击 该 日 志文 件 并 选择 “另存 日 志文 件 ” 命 令 进行 保存 )。 
3. 筛选 事件 日 志 中 的 事件 
如 果 日 志文 件 内 的 事件 太 多 ， 造 成 不 易 查 找事 件 时 ， 可 以 利用 筛选 事件 的 方式 ， 让 它 
只 显示 特定 的 事件 。 该 设置 可 通过 右 击 该 日 志文 件 名 并 选择 “属性 ”一 “筛选 器 ”命令 ， 
或 者 右 击 该 日 志文 件 名 并 选择 “查看 ”一 “筛选 ”命令 的 途径 实现 ， 将 出 现 如 图 4.22 所 示 
的 对 话 框 ， 从 中 可 以 根据 事件 的 类 型 、 事 件 来 源 、 类 别 、 计 算 机 、 事 件 发 生 的 起 始 /结束 时 
间 等 设置 选择 要 显示 的 事件 。 
若 要 取消 筛选 功能 ， 则 可 以 通过 右 击 该 日 志文 件 名 并 选择 “查看 ”一 “所 有 记录 ” 命 
令 的 途径 实现 。 
4. 存储 日 志文 件 的 格式 


存储 日 志文 件 的 格式 可 以 是 以 下 3 种 形式 。 
YY ，/ (1) 事件 日 志 。 其 扩展 名 为 .evt， 是 “事件 查看 器 ”查看 的 默认 日 志 格式 。 
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(2) 文本 《以 制 表 符 分 隔 )。 其 扩展 名 为 .txt， 是 将 每 一 条 数据 之 间 利用 制 表 符 〈Tab) 
分 隔 。 以 此 格式 存储 的 文件 ， 可 利用 一 般 的 文字 处 理 软件 《如 记事 本 等 ) 查看 ， 也 可 供电 
子 表 格 、 数 据 库 等 应 用 程序 来 读 取 、 导 入 。 

(3) CSV (以 逗号 分 隔 )。 其 扩展 名 为 .csv， 它 是 将 每 一 条 数据 之 间 用 逗号 “,” 
分 隔 。 以 此 格式 存储 的 文件 ， 可 利用 一 般 的 文字 处 理 软件 〈 如 记事 本 等 ) 来 查看 ， 也 
可 供电 子 表格 、 数 据 库 等 应 用 程序 来 读 取 、 导 入 。 


日 志 名 称心 :WENRVSYSwSZVeanERSecivetEt 
大 小 : 84.0 到 (5,536 字 节 ) 

创建 时 间 ， 2005 年 11 月 20 日 14:11:28 

修改 时 间 ， 2005 年 11 月 20 日 14:11:28 

2008 年 5 月 1 日 11:28:08 


事件 ID 人 D): | 
用 户 加 : i | 
计算 机 四; i 
MW: -Tr 
I CE ICE 
还 原 为 默认 值 员 ) 
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图 4.21 安全 日 志 属性 图 4.22 ”筛选 事件 日 志 中 的 事件 


4.S.3 使 用 审核 资源 


1.， 制定 审核 策略 
审核 策略 用 于 设置 是 否 对 系统 一 些 重要 事件 进行 审核 。 制 定 事件 的 审核 时 需要 综合 
如 果 审 核 太 多 的 事件 会 造成 系统 开销 太 大 ， 审 核 太 少 的 事件 有 可 能 不 能 保证 系统 的 安 
。 主 要 应 考虑 与 系统 安全 性 密切 相关 的 事件 。 

具体 来 说 ， 制 定 审核 策略 时 应 主要 考虑 以 下 问题 。 

(1) 确定 要 审核 的 事件 类 型 。 

@ 访问 网 络 资源 ， 如 文件 、 文 件 夹 或 打印 机 等 。 

@ 用 户 登 录 和 注销 。 

@ 关闭 和 重新 启动 运行 Windows Server 2003 的 计算 机 。 

@ 修改 用 户 账户 和 组 。 

(2) 确定 审核 成 功 的 事件 与 审核 失败 的 事件 或 者 两 者 都 审核 。 

Q@ 账户 管理 : 成 功 、 失 败 。 

@ 登录 事件 : 成 功 、 失 败 。 

@ 对 象 访问 : 失败。 

@ 策略 更 改 : 成 功 、 失 败 。 

@@ 特权 使 用 : 失败 。 

@ 系统 事件 : 成 功 、 失 败 。 \ 71/ 
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@ 目录 服务 访问 : 失败 。 
账户 登录 事件 : 成 功 、 失 败 。 
(3) 确定 查看 安全 日 志 的 时 间 表 。 

要 审核 用 户 访问 资源 的 情况 ， 必 须 经 过 以 下 两 个 步骤 。 

G@ 设置 审核 策略 。 条 件 是 只 有 具备 Administrator 权限 的 用 户 才能 设置 审核 策略 。 

@ 设置 要 审核 的 资源 。 必 须 具 备 “ 管 理 审核 及 安全 日 志 ” 权 限 的 用 户 才 可 以 审核 资源 
的 使 用 情况 ， 默 认 是 只 有 Administrators 组 内 的 成 员 才 有 此 权限 。 可 以 利用 组 策略 内 的 “用 
户 权利 指派 ”策略 给 予 其 他 用 户 这 个 权限 。 如 果 要 审核 文件 或 文件 夹 的 使 用 情况 ， 则 这 些 
文件 与 文件 夹 必须 位 于 NTFS 磁盘 分 区 内 ，FAT16/FAT32 并 不 支持 审核 的 功能 。 另 外 ， 最 
好 是 将 事件 日 志 归档 ， 便 于 以 后 查询 。 

按照 审核 策略 所 记录 的 数据 记录 在 “安全 日 志 ” 内 ， 可 利用 “事件 查看 器 ”查看 此 日 志 。 

2. 审核 策略 的 设置 

审核 策略 的 设置 是 通过 “组 策略 ”或 “本 地 安全 策略 ”进行 的 。 根 据 目 前 正在 使 用 的 
计算 机 与 设置 的 对 象 决定 使 用 “组 策略 ”或 “本 地 安全 策略 ”。 另 外 ， 如 果 在 本 地 计算 机 、 
站 点 、 域 与 组 织 单位 内 都 分 别 设置 了 审核 策略 ， 则 这 些 审核 策略 的 应 用 顺序 如 下 。 

(1) 本 地 审核 策略 (通过 “本 地 安全 策略 ”设置 )。 
(2) 站 点 的 审核 策略 。 

(3) 域 的 审核 策略 。 

(4) 组 织 单位 (OU) 的 审核 策略 。 

审核 策略 应 用 的 总 原则 是 : 应 用 顺序 在 后 的 审核 策略 会 覆盖 掉 应 用 顺序 在 前 的 审核 策 
略 ， 例 如 ， 若 域 的 审核 策略 与 本 地 审核 策略 的 设置 有 冲突 时 ， 则 以 应 用 顺序 在 后 的 域 审核 
策略 内 的 设置 为 其 最 终 设 置 。 


4.6 Windows Server 2003 的 实 全 应 月 


Windows Server 2003 是 微软 公司 在 Windows 2000 系列 的 基础 上 改进 推出 的 ， 它 集成 
了 功能 强大 的 应 用 程序 环境 ， 具 有 更 广泛 的 适应 性 和 便捷 的 管理 。 

对 于 网 络 系统 管理 员 来 说 ， 最 关心 的 事情 莫 过 于 系统 的 安全 。Windows Server 2003 作 
为 Micorsoft 最 新 推出 的 服务 器 操作 系统 ， 相 比 Windows 2000/XP 系统 来 说 ， 各 方面 的 功 
能 确实 得 到 了 增强 ， 尤 其 在 安全 性 方面 。 但 任何 事物 都 不 是 十 全 十 美的 ，Windows Server 
2003 也 存在 着 系统 漏洞 和 安全 隐患 。 无 论 用 计算 机 欣赏 音乐 、 上 网 冲浪 、 运 行 游戏 ， 还 是 
编写 文档 都 不 可 避免 地 受到 新 病毒 和 恶意 软件 的 威胁 , 如 何 让 Windows Server 2003 更 加 安 
全 ， 就 成 为 广大 用 户 十 分 关注 的 问题 。 


4.6.1 Windows Server 2003 安全 


Vy Windows Server 2003 系统 不 仅 继承 了 Windows 2000/XP 的 易 用 性 和 稳定 性 ， 而 且 还 提 
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供 了 更 高 的 硬件 支持 和 更 加 强大 的 安全 功能 ， 无 疑 是 中 小 型 网 络 应 用 服务 器 的 首选 。 
Windows Server 2003 系统 提供 的 提高 密码 的 破解 难度 、 启 用 账户 锁定 策略 、 限 制 用 户 登 录 、 
限制 外 部 连接 、 系 统 审核 机 制 、 监 视 开 放 端 口 和 连接 、 监 视 进 程 和 系统 信息 等 安全 策略 ， 
可 确保 网 络 安全 和 服务 器 的 正常 运行 。 

1， 提高 密码 的 破解 难度 

在 Windows Server 2003 系统 中 ， 可 以 通过 在 安全 策略 中 设 定 “ 密 码 策 略 ” 来 提高 密码 
的 破解 难度 。Windows Server 2003 系统 的 安全 策略 可 以 根据 网 络 的 情况 ， 针 对 不 同 的 场合 
和 范围 进行 有 针对 性 的 设 定 。 例 如 可 以 针对 本 地 计算 机 、 域 及 相应 的 组 织 单元 进行 设 定 ， 
这 将 取决 于 该 策略 要 影响 的 范围 。 以 域 安全 策略 为 例 ， 其 作用 范围 是 网 中 所 指定 域 的 所 有 
成 员 。 在 域 管理 工具 中 运行 “ 域 安全 策略 ”工具 ， 就 可 以 针对 密码 策略 进行 相应 的 设 定 。 
密码 策略 也 可 以 在 指定 的 计算 机 上 用 本 地 安全 策略 来 设 定 ， 同 时 也 可 在 网 络 中 特定 的 组 织 
单元 通过 组 策略 进行 设 定 。 

2. 启用 账户 锁定 策略 

Windows Server 2003 系统 的 账户 锁定 是 指定 某 些 情况 下 (如 账户 受到 采用 密码 词典 或 
暴力 猜 解 方式 的 攻击 )， 为 保护 该 账户 的 安全 而 将 此 账户 进行 锁定 ， 使 其 在 一 定 的 时 间 内 不 
能 再 次 使 用 。 默 认 情 况 下 并 没有 设 定 这 种 锁定 策略 ， 用 户 可 根据 情况 自行 设置 账户 锁定 。 
设 定 账户 锁定 的 第 一 次 登录 尝试 ， 如 果 3 次 登录 全 部 失败 ， 系 统 就 会 锁定 该 账户 。 一 旦 该 
账户 被 锁定 后 ， 即 使 合法 用 户 也 无 法 使 用 了 ， 只 有 管理 员 才 能 重新 启用 该 账户 。 为 方便 用 
户 ， 可 以 同时 设 定 锁定 的 时 间 ， 这 样 从 开始 锁定 账户 时 进行 计时 ， 当 锁定 时 间 超 过 该 时 间 
后 系统 自动 解锁 。 虽 然 这 会 给 用 户 的 使 用 造成 一 些 不 便 ， 但 它 可 以 有 效 地 避免 自动 猜 解 工 
有 具 的 攻击 。 设 置 指定 账户 锁定 的 阔 值 ， 即 确定 该 账户 无 效 登 录 的 次 数 。 一 般 设 定 该 数值 为 
3， 即 允许 3 次。 

3. 限制 用 户 登 录 

用 户 还 可 以 通过 对 其 登录 行为 进行 限制 ， 来 保障 其 账户 的 安全 。 这 样 即使 是 密码 出 现 
泄露 ， 系 统 也 可 以 在 一 定 程度 上 阻止 黑客 入 侵 。Windows Server 2003 网 络 用 户 可 运行 
“Active Directory 用 户 和 计算 机 ”管理 工具 ， 选 择 相 应 的 用 户 并 设置 其 账户 属性 。 在 “ 账 
户 属 性 ”设置 中 可 对 其 登录 时 间 和 地 点 进行 限制 。 另 外 ， 还 可 以 通过 “账户 ”选项 限制 登 
录 时 的 行为 ， 如 使 用 “用 户 必须 用 智能 卡 登 录 ” 就 可 避免 直接 使 用 密码 验证 。 此 外 ， 还 可 
以 引入 指纹 验证 等 更 为 严格 的 手段 。 

4. 限制 外 部 连接 

对 于 企业 网 络 来 说 ， 通 常 需 要 为 一 些 远 程 拨号 用 户 〈 业 务 人 员 或 客户 ) 提供 拨号 接 入 
服务 。 远 程 拨号 访问 技术 实际 上 是 通过 低速 拨号 连接 将 远程 计算 机 接 入 到 企业 内 部 网 中 。 
由 于 该 连接 无 法 隐藏 ， 因 此 常常 成 为 黑客 入 侵 企业 内 部 网 的 最 佳 入 口 ， 但 采取 一 定 的 措施 
可 以 有 效 地 降低 此 风险 。 基 于 Windows Server 2003 的 远程 访问 服务 器 ， 默 认 情况 下 将 人 允 
许 具 有 拨 入 权限 的 所 有 用 户 建立 连接 。 因 此 ， 合 理 地 设置 用 户 账户 的 拨 入 权限 ， 严 格 限制 
拨 入 权限 的 分 配 范围 ， 即 可 很 好 地 限制 外 部 连接 。 在 Windows Server 2003 系统 中 ， 如 果 活 、 (1 
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动 目录 工作 在 Native-mode (本 机 模式 ) 下 ， 就 可 以 通过 存储 在 访问 服务 器 上 或 Intemet 验 
证 服务 器 上 的 远程 访问 策略 来 管理 。 
5. 限制 特权 组 成 员 


Windows Server 2003 系统 还 有 一 种 非常 有 效 的 防范 黑客 入 侵 和 管理 疏忽 的 辅助 手段 ， 
这 就 是 利用 “ 受 限 制 的 组 ”安全 策略 。 该 策略 可 保证 组 成 员 是 固定 的 。 在 域 安 全 策略 的 管 
理工 具 中 添加 要 限制 的 组 ， 在 “组 ”对 话 框 中 输入 或 查找 要 添加 的 组 ， 然 后 配置 该 受 限制 
的 组 成 员 ， 当 安全 策略 生效 后 ， 可 防止 黑客 将 后 门 账户 添加 到 该 组 中 。 
6. 启用 系统 审核 机 制 
系统 审核 机 制 可 以 对 系统 中 的 各 类 事件 进行 跟踪 记录 并 写 入 日 志文 件 ， 以 供 管 理 员 进 
行 分 析 、 查找 系统 和 应 用 程序 故障 以 及 各 类 安全 事件 。 对 Windows Server 2003 系统 的 服务 器 
和 工作 站 系统 来 说 , 为 了 不 影响 系统 性 能 , 默认 的 安全 策略 并 不 对 安全 事件 进行 审核 。 从 “ 安 
全 配置 和 分 析 ” 工 具 用 SecEdit 安全 模板 进行 的 分 析 结 果 可 见 ， 这 些 有 特殊 标记 的 审核 策略 
应 该 已 经 启用 ， 这 可 用 来 发 现 来 自 外 部 和 内 部 的 黑客 的 入 侵 行 为 。 对 于 关键 的 应 用 服务 器 和 
文件 服务 器 来 说 ， 应 同时 启用 共同 的 安全 策略 。 如 果 已 经 启用 了 “审核 对 象 访问 ”策略 ， 那 
么 就 要 求 必须 使 用 NTFS 文件 系统 。NTEFS 文件 系统 不 仅 提供 对 用 户 的 访问 控制 ， 而 且 还 可 
以 对 用 户 的 访问 操作 进行 审核 。 但 这 种 审核 功能 需要 针对 具体 的 对 象 来 进行 相应 的 配置 。 
在 被 审核 对 象 “安全 ”属性 的 “高 级 ”属性 中 添加 要 审核 的 用 户 和 组 。 在 该 对 话 框 中 
选择 要 审核 的 用 户 后 , 就 可 以 设置 对 其 进行 审核 的 事件 和 结果 。 在 所 有 的 审核 策略 生效 后 ， 
就 可 以 通过 检查 系统 的 日 志 来 发 现 黑客 的 蛛丝马迹 。 
7.， 监 视 开 放 的 端口 和 连接 
在 系统 中 启用 安全 审核 策略 后 ， 管 理 员 应 经 常 查看 安全 日 志 记 录 ， 否 则 就 失去 了 及 时 
补救 和 防御 的 时 机 。 对 日 志 的 监视 只 能 发 现 已 经 发 生 的 入 侵 事 件 ， 对 正 进行 的 入 侵 和 破坏 
行为 却 无 能 为 力 。 这 时 ， 就 需要 管理 员 来 掌握 一 些 基本 的 实时 监视 技术 。 
黑客 或 病毒 入 侵 系统 后 通常 会 在 系统 中 留 下 后 门 , 同时 会 与 外 界 建立 一 个 Socket 会 话 
连接 进行 通信 ， 这 时 利用 netstat 命令 进行 会 话 状 态 的 检查 就 可 能 发 现 已 经 打开 的 端口 和 已 
经 建立 的 连接 。 当 然 可 以 采用 一 些 专用 的 检测 程序 对 端口 和 连接 进行 检测 。 
8 监视 共享 
黑客 通过 共享 入 侵 系统 是 很 方便 的 ， 最 简单 的 就 是 利用 系统 隐 含 的 管理 共享 。 因 些 ， 
只 要 黑客 能 扫描 到 用 户 的 了 P 和 密码 ， 就 可 使 用 netuse 命令 连接 到 共享 上 ， 另 外 ， 当 发 现 含 
有 恶意 脚本 的 网 页 时 ， 此 时 计算 机 硬盘 也 就 可 能 被 共享 ， 因 此 ， 监 测 本 机 的 共享 连接 是 非 
常 重要 的 。 监 测 本 机 的 共享 连接 的 具体 方法 为 : 在 Windows Server 2003 系统 的 计算 机 中 ， 
打开 “计算 机 管理 ”窗口 ， 并 展开 “共享 文件 夹 ”选项 ， 单 击 其 中 的 “共享 ”按钮 就 可 以 
在 其 窗口 中 检查 是 否 有 新 的 可 疑 共享 。 如 果 有 可 疑 共享 ， 就 应 该 立即 删除 。 另 外 还 可 以 通 
过 选择 “会 话 ” 选 项 ， 来 查看 连接 到 机 器 上 所 有 共享 的 会 话 。 
9. 监视 进程 和 系统 信息 
\ 对 于 木马 和 远程 监控 程序 ， 除 了 监视 开放 的 端口 外 ， 还 应 通过 任务 管理 器 的 进程 查看 
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功能 查看 进程 , 在 安装 Windows Server 2003 系统 支持 工具 后 就 可 以 获得 一 个 进程 查看 工具 
Process Viewer。 隐 藏 的 进程 通常 寄宿 在 其 他 进程 下 ， 因 此 查看 进程 的 内 存 映 像 也 许 能 发 现 
异常 。 有 些 木马 会 把 自己 注册 成 一 个 服务 ， 从 而 可 避免 在 进程 列表 中 现形 ， 因 此 人 们 还 应 
该 加 强 对 系统 中 其 他 信息 的 监视 ， 对 系统 信息 中 的 软件 环境 下 的 各 项 进行 相应 的 检查 。 


4.6.2 Windows Server 2003 的 安全 设置 


下 面 介 绍 一 些 Windows Server 2003 系统 常用 的 安全 操作 和 设置 。 
1. 清除 默认 共享 隐患 


Windows Server 2003 系统 在 默认 安装 时 ， 会 产生 默认 的 共享 文件 夹 。 虽 然 用 户 并 没有 
设置 共享 ,但 每 个 盘 符 都 被 Windows 自动 设置 了 共享 , 其 共享 名 为 盘 符 后 面 加 一 个 符号 $( 共 
享 名 为 cg$、d$、ipc$ 等 )， 这 样 一 来 ， 只 要 攻击 者 知道 了 该 系统 的 管理 员 密 码 ， 就 有 可 能 通 
过 输入 “\\ 工 作 站 \ 点 共享 名 \ 共 享 名 称 ” 来 打开 系统 的 指定 文件 夹 ， 用 户 精 心 设置 的 安全 防 
范 就 不 安全 了 。 因 此 应 将 Windows Server 2003 系统 默认 的 共享 隐患 从 系统 中 清除 掉 。 可 采 


用 以 下 步 又 : 
(1) 选择 “开始 ”一 “运行 ”命令 ， 输 入 gpedit.msc， 确 认 后 即 可 打开 “组 策略 编辑 
器 ”窗口 。 


(2) 依次 展开 “用 户 配置 ”一 “Windows 设置 ”一 “脚本 (登录 /注销 )” 文 件 夹 ， 如 
图 4.23 所 示 。 
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图 423 “组 策略 编辑 器 ”窗口 


(3) 双击 “登录 ”选项 ， 在 出 现 的 “登录 属性 ”对 话 框 中 单 击 “ 添 加 ”按钮 。 
(4) 在 出 现 的 “添加 脚本 ”对 话 框 的 “脚本 名 ”文本 框 中 输入 delshare.bat， 然 后 单 击 
“确定 ”按钮 即 可 ， 如 图 4.24 所 示 。 
\ 
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(5) 重新 启动 计算 机 系统 。 
这 样 就 可 以 自动 将 系统 所 有 的 隐藏 共享 文件 夹 全 部 取消 ， 将 系统 安全 隐患 降 到 最 低 限度 。 


a = 


文件 加 “操作 他 查看 WW 寺 隐 加) 
“| 外 | 国 | 狠 基 | 狠 医 


HH | J \yrABE 
| 


图 4.24 清除 默认 共享 

2. 禁止 非法 访问 应 用 程序 

Windows Server 2003 是 一 种 服务 器 操作 系统 。 为 了 防止 非法 用 户 登 录 到 系统 中 并 随意 
启动 服务 器 中 的 应 用 程序 ， 给 服务 器 的 正常 运行 带 来 不 必要 的 麻烦 ， 可 根据 不 同 用 户 的 访 
问 权限 ， 来 限制 他 们 去 调用 应 用 程序 。 实 际 上 我 们 只 要 使 用 “组 策略 编辑 器 ” 作 进 一 步 的 
设置 ， 即 可 实现 这 一 目的 。 具 体 步 又 如 下 : 

(1) 打开 “组 策略 编辑 器 ”窗口 ， 然 后 依次 展开 “用 户 配 置 ” 一 “管理 模板 ”一 “ 系 
统 ” 文 件 夹 ， 如 图 4.25 所 示 。 
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中 管理 吕 ,因为 它 是 从 系统 局 
了 天 六 尿 。 丰 各 骨 户 可 以 记 同 “合作 示 【| 多 不 要 运行 计 定 的 hadors 包月 得 放 
司 用 户 配置 妇 #f。 | 符 ”tDsd_ sx) 的 话 ,这 个 设 村 天。 | 全 关 
法 稳 目 用 认命 令 官 口 启动 不 多 六 | 镶 限 之 些 程序 从 肆 且 启动 
un 1 迁 i i 全 直系 天 失 的 cog 组 入 
二 鱼 risao*= 9 动 更 新 
二 和 各 广 意 : 对 于 有 winavv= 2000 或 更 “全 关 闭 tintovs 由 aate 设备 驱动 程 序 搜 索 提示 
新 版 本 的 正明 的 匠 三 方 库 用 程 订 ， 
党 as: ternet 通信 入 | 要求 附 加 此 设置 . 注意、 要 外 津 允 
许 的 文件 列表 。 单 击 辟 示 ”， 单 ”了 由 | 加 
晶 ] 到 \yEAE 


0 图 425 “组 策略 编辑 器 ”中 的 系统 设置 
/ 
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机 网 络 安全 技术 | 


(2) 在 “设置 ”列表 框 中 选择 “只 运行 许可 的 Windows 应 用 程序 ”选项 并 双击 ， 在 
打开 对 话 框 的 “设置 ”选项 卡 中 选中 “已 启用 ” 单 选 按钮 ， 如 图 4.26 所 示 。 

(3) 单 击 “ 人 允许 的 应 用 程序 列表 ”右边 的 “显示 ”按钮 ， 弹 出 “显示 内 容 ” 对 话 框 ， 
如 图 4.27 所 示 。 


图 4.26 选中 “已 启用 ” 单 选 按钮 图 4.27 “显示 内 容 ” 对 话 框 


(4) 单 击 “ 添 加 ”按钮 来 添加 允许 运行 的 应 用 程序 ， 如 图 4.28 所 示 。 
这 样 操作 后 一 般 用 户 只 能 运行 “允许 的 应 用 程序 列表 ”中 的 程序 。 


图 4.28 “添加 项 目 ” 对 话 框 


3. 禁用 IPC 连接 

IPC$ (Intemer Process Connection) 是 共享 命名 管道 的 资源 ， 它 是 为 了 使 进程 间 通 信 而 
开放 的 命名 管理 。 通 过 提供 可 信任 的 用 户 名 和 口令 , 连接 双方 计算 机 即 可 建立 安全 的 通道 ， 
并 以 此 通道 进行 加 密 数 据 的 交换 ， 从 而 实现 对 远程 计算 机 的 访问 。 它 是 Windows 
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NT/2000/2003 特有 的 功能 。 但 它 有 一 个 特点 ， 即 在 同一 时 间 内 ， 两 个 他 之 间 只 允许 建立 一 
个 连接 。 系 统 在 提供 了 IPCS$ 功 能 的 同时 ， 在 初次 安装 系统 时 还 打开 了 默认 共享 ， 即 所 有 的 
逻辑 共享 (c$、d$、e$ 等 ) 和 系统 目录 windows (admin$) 共享 。 这 虽然 为 系统 管理 员 的 
管理 提供 方便 ， 但 也 为 IPC 入 侵 者 提供 了 方便 条 件 ， 导 致 系统 的 安全 性 能 降低 ， 因 此 ， 为 
了 安全 起 见 ， 禁 用 IPC 连接 。 可 以 通过 修改 注册 表 来 实现 禁用 IPC 连接 。 

4. 清空 远程 可 访问 的 注册 表 路 径 


Windows Server 2003 系统 提供 了 注册 表 的 远程 访问 功能 ， 只 有 将 远程 可 访问 的 注册 表 
路 径 设 置 为 室 ， 才 能 有 效 地 防止 黑客 利用 扫描 通过 远程 注册 表 读 取 计 算 机 的 系统 信息 。 设 
置 远程 可 访问 的 注册 表 路 径 为 空 的 步骤 如 下 : 

(1) 打开 “组 策略 编辑 器 ”窗口 ， 然 后 依次 展开 “计算 机 配置 ”一 “Windows 设置 ” 
一 “安全 设置 ”一 “本 地 策略 ”文件 夹 。 

(2) 单 击 “ 安 全 选项 ”选项 ， 双 击 右 侧 窗口 中 的 “网 络 访问 : 可 远程 访问 的 注册 表 路 
径 ” 选 项 。 

(3) 在 打开 的 “网 络 访问 : 可 远程 访问 的 注册 表 路 径 属性 ”对 话 框 中 ， 将 可 远程 访 
问 的 注册 表 路 径 和 子路 径 内 容 全 部 设置 为 空 ， 再 单 击 “确定 ”按钮 即 可 ， 如 图 4.29 如 示 。 

另外 , 在 进行 安全 设置 时 , 对 如 图 4.29 所 示 的 本 地 策略 的 安全 选项 设置 可 以 考虑 将 “网 
络 访问 : 可 匿名 访问 的 共享 “网络 访问 : 可 匿名 访问 的 命名 管道 ”和 “网 络 访问 : 可 远 
程 访问 的 注册 表 路 径 和 子路 径 ”3 项 全 部 删除 ， 将“ 网络 访问 : 不 允许 SAM 账户 的 匿名 枚 
举 ”” “网 络 访问 ， 不 允许 SAM 账户 和 共享 的 匿名 枚 举 ” “网 络 访问 不 允许 存储 网 络 身 
份 验证 的 凭据 或 .NETPassports” 和 “网 络 访问 : 限制 匿名 访问 命名 管道 和 共享 ”4 项 更 改 
为 “已 启用 ”。 
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图 4.29 “网 络 访问 : 可 远程 访问 的 注册 表 路 径 属性 ”对 话 杠 
5. 关闭 不 必要 的 端口 和 服务 
对 于 个 人 用 户 来 说 ， 系 统 安装 过 程 中 默认 的 有 些 端 口 没 有 什么 用 途 ， 应 该 关 掉 这 些 端 
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口 ， 即 关闭 无 用 的 服务 。 

(1) 关闭 139 端口 。 

139 端口 是 NetBIOS 协议 所 使 用 的 会 话 服务 端口 ， 在 安装 了 TCP/IP 协议 的 同时 ， 
NetBIOS 也 会 被 作为 默认 设置 安装 到 系统 中 。 该 端口 的 开放 意味 着 硬盘 可 能 会 在 网 络 中 共 
享 ， 网 上 黑客 可 通过 NetBIOS 了 解 用 户 计 算 机 中 的 一 切 。 在 以 前 的 Windows 版 本 中 ， 只 要 
不 安装 “Microsoft 网 络 的 文件 和 打印 机 共享 "协议 , 就 可 关闭 139 端口 .但 在 Windows Server 
2003 系统 中 ， 要 单独 进行 关闭 139 端口 的 操作 才 行 。 具 体 步 又 如 下 : 

@ 右 击 “ 网 络 邻居 ” 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 进 入 “网 络 连接 ”窗口 。 

@ 右 击 “本 地 连接 ” 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 打 开 “ 本 地 连接 属性 

@ 取消 选中 “Microsoft 网 络 的 文件 和 打印 机 共享 ” 复 选 框 ， 如 图 4.30 所 示 。 

@ 选中 “Intemet 协议 (TCP/IP)” 复 选 框 ， 单 击 “ 属 性 ”按钮 ， 在 打开 的 对 话 框 中 再 
单 击 “高 级 ”按钮 ， 打 开 “ 高 级 TCP/IP 设置 ”对 话 框 ， 选 择 WINS 选项 卡 ， 选 中 “禁用 
TCP/IP 上 的 NetBIOS” 单 选 按 钮 ， 单 击 “ 确 定 ” 按 钮 即 可 完成 任务 ， 如 图 4.31 所 示 。 
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如 果 局 用 LIMDSTS 查找 ， 它 格 应 用 于 所 有 局 用 TCP/IF 的 连接 。 
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图 4.30 “本 地 连接 属性 ”对 话 框 图 4.31 禁用 TCP/IP 上 的 NetBIOS 


(2) 关闭 445 端口 。 

445 端口 是 一 把 “ 双 刃 剑 ” 有 了 它 用 户 可 以 在 局 域 网 中 轻松 访问 各 种 共享 文件 夹 或 共 
享 打 印 机 ， 但 也 正 是 因为 有 了 它 ， 黑 客 们 才 有 了 可 乘 之 机 。 他 们 可 通过 该 端口 偷偷 共享 用 
户 的 硬盘 ， 甚 至 会 在 悄 无 声息 中 将 用 户 的 硬盘 格式 化 。 用 户 要 做 的 就 是 想 办 法 不 让 黑客 有 
机 可 乘 ， 封 堵 住 445 端口 漏洞 。 关 闭 445 端口 的 方法 是 ， 打 开 注 册 表 后 做 如 下 操作 : 

选择 HKEY LOCAL MACHINE\System\CurrentControlSet\Services\NetBT\Parameters 
中 的 Parameters 选项 并 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “新 建 ” 一 “DWORD 值 ”命令 ， 
将 DWORD 值 命名 为 SMBDeviceEnabled， 数 值 为 0。 

(3) 关闭 135 端口 。 
关闭 135 端口 的 步骤 如 下 : 
Q 执行 “开始 ”一 “运行 ”命令 ,输入 dcomcnfge， 单 击 “ 确 定 ” 按 钮 打开 “组 件 、 | / 
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服务 ”对 话 框 。 

@ 在 “组 件 服务 ”对 话 框 中 展开 “组 件 服务 ”一 “计算 机 ”文件 夹 ， 如 图 4.32 所 示 。 
在 “计算 机 ”文件 夹 中 ， 右 击 “ 我 的 电脑 ”， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 。 

@ 在 弹出 的 “我 的 电脑 属性 ”对 话 框 的 “默认 属性 ”选项 卡 中 ， 取 消 选 中 “在 此 计 
算 机 上 启用 分 布 式 COM” 复 选 框 ， 如 图 4.33 所 示 。 


文件 四 境 作 抽 ) 碍 看 0 口 加 天助 0 
中 | 因 | 有 | 六路 旧 | 访 国 | 全 | 人 污 需 窟 时 


图 432 “组 件 服务 ”对 话 框 


@ 选择 “默认 协议 ”选项 卡 ， 选 择 “ 面 向 连接 的 TCP/IP” 选 项 ， 单 击 “ 移 除 ” 按 钮 。 
再 单 击 “ 确 定 ” 按 钮 完成 设置 ， 如 图 4.34 所 示 。 
重新 启动 计算 机 后 即 可 关闭 135 端口 。 
我 的 电脑 屋 性 了 xj | 
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身份 验证 氏 别 指定 小 据 包 纠 别 上 的 安全 。 
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图 4.33 “我 的 电脑 属性 ”对 话 框 图 4.34 面向 连接 的 TCP/IP 


(4) 关闭 自动 播放 等 服务 。 
自动 播放 功能 不 仅 对 光驱 起 作用 ， 而 且 对 其 他 驱动 也 起 作用 。 自 动 播放 功能 很 容易 被 
黑客 利用 来 执行 黑客 程序 ， 因 此 ， 可 以 考虑 关闭 该 服务 。 关 闭 自动 播放 服务 的 操作 为 : 
\ 7 @ 打开 “组 策略 编辑 器 ”窗口 ， 依 次 展开 “计算 机 配置 一 管理 模板 一 系统 ”文件 夹 。 


@ 在 右 侧 窗口 中 找到 “关闭 自动 播放 ”选项 并 双击 。 

@@ 在 打开 的 对 话 框 中 选中 “已 启用 ” 单 选 按钮 ， 然 后 在 “关闭 自动 播放 ”后 面 的 下 拉 
列表 框 中 选择 “所 有 驱动 器 ”选项 ， 单 击 “ 确 定 ”按钮 即 可 生效 。 

另外 ， 打 开 “ 本 地 连接 ”的 Windows Server 2003 自 带 的 防火 墙 ， 可 以 屏蔽 端口 ， 基 本 
可 达到 IPSec (Intemet 协议 安全 性 ) 的 功能 。 例 如 ， 只 保留 远程 桌面 服务 器 端口 3389、Web 
服务 器 端口 80、FTP 服务 器 端口 21、 邮 件 服务 器 端口 5、POP3 服务 器 端口 110、 网 页 浏 
览 端口 443 和 SQL 监听 端口 1433 等 有 用 的 端口 ， 将 其 余 端 口 屏蔽 掉 。 

把 不 必要 的 服务 都 禁止 掉 ， 尽管 这 些 不 一 定 能 被 攻击 者 利用 得 上 , 但 是 按照 安全 规则 和 标 
准 看 ， 多 余 的 东西 就 没有 必要 开启 ， 这 样 还 可 减少 一 份 隐患 。 对 于 个 人 用 户 ， 可 以 在 各 项 服务 
属性 设置 中 将 要 关闭 的 服务 设 为 “禁用 ” 这 样 在 下 次 重启 服务 后 不 需要 的 服务 就 关闭 了 。 

Windows Server 2003 系统 中 还 可 以 关闭 如 下 不 常用 的 服务 。 

@ Computer Browser〔 维 护 网 络 上 计算 机 的 最 新 列表 及 提供 这 个 列表 )。 

@ Task scheduler (人 允许 程序 在 指定 时 间 运 行 )。 

@) Messager (传输 客户 端 和 服务 器 之 间 的 NET SEND 和 警报 器 服务 消息 )。 

@ Distributed File System (分 布 式 文件 系统 )。 

@ Distributed linktracking client (用 于 局 域 网 更 新 连接 信息 )。 

@ Error Reporting Service (发 送 错 误 报告 )。 

(@ Microsoft Search (提供 快 速 的 单词 搜索 )。 

PrintSpooler( 如果 没 有 打印 机 可 禁用 )。 

@ Remote Registry (远程 修改 注册 表 )。 

Remote Desktop Help Session Manager (远程 协助 )。 

6. 删除 不 安全 的 组 件 


一 些 ASP 木马 或 一 些 恶 意 程序 都 会 使 用 到 WScript.Shellt 和 Shell.application 这 两 个 组 
件 ， 采 用 如 下 方法 可 删除 或 卸载 这 两 个 组 件 。 

(1) 通过 注册 表 删 除 。 删 除 注册 表 HKEY_CLASSES_ ROOTACLSID\{72C24DD5- 
D70A-438B-8A42-98424B88AFB8}] 对 应 的 WScript.Shell; 删除 注册 表 [HKEY_CLASSES_ 
ROOT\CLSID\{13709620-C279-11CE-A49E-444553540000}] 对 应 的 Shell.application。 

(2) 利用 regsvr32mu 来 卸载 。 利 用 regsvr32/u wshom.ocx 卸载 WScript.Shell 组 件 ; 利 
用 regsvr32/u shell32.dll 卸载 Shell.application 组 件 。 

7. 账户 锁定 设置 

账户 锁定 策略 是 一 项 Active Directory 安全 功能 。 在 指定 时 间 段 内 ,如 果 登 录 尝试 失败 
次 数 达 到 指定 次 数 ， 它 会 锁定 用 户 账户 并 禁止 登录 。 人 允许 尝试 的 次 数 和 时 间 段 基于 为 账户 
锁定 设置 的 值 。 账 户 锁定 策略 还 可 以 指定 锁定 期 限 。 账 户 锁定 设置 有 助 于 防止 攻击 者 猜测 
用 户 密码 ， 并 且 会 降低 对 网 络 环境 攻击 成 功 的 可 能 性 。 

执行 “开始 ”一 “运行 ”命令 ， 输 入 secpolmsc， 打 开 “ 本 地 安全 设置 ”窗口 ， 打 开 
“账户 锁定 策略 ”文件 夹 ， 如 图 4.35 所 示 。 双 击 “ 账 户 锁定 阔 值 ”选项 ， 在 出 现 的 对 话 杠 Cp 
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中 输入 允许 尝试 的 最 大 登录 次 数 ， 单 击 “ 确 认 ” 按 钮 即 可 。 


ETEEE3 | 
EEC 
和 了 | 加 图 序 吕 | 国 四 


Er ET I 
Ea 不 通用 
Ea 二 适用 
Et 次 天 外 号 好 


加 
图 


a i 
| 恒 电 了 全 全 视 中 ,在 二 + 和 天 


图 4.35 “本 地 安全 设置 ”窗口 
本 和 壮 小 售 


本 章 主 要 讲述 了 Windows Server 2003 新 增加 的 安全 功能 , Windows Server 2003 中 的 用 
户 管理 及 其 策略 ，Windows Server 2003 中 的 文件 访问 权限 及 其 策略 ，Windows Server 2003 
中 的 资源 审核 、 基 本 应 用 及 在 Windows Server 2003 中 安全 使 用 数字 证 书 等 内 容 。 


习 通 


人 填空 题 
1. Active Directory 存储 有 关 网 络 上 的 信息 , 并 让 用 户 和 网 络 管理 员 可 以 使 用 
这 些 信息 。 
2. Windows Server 2003 系统 的 身份 验证 使 用 对 所 有 网 络 资源 的 登录 。 
3. 访问 控制 是 批准 、 组 和 访问 网 络 上 的 对 象 的 过 程 。 
4. 证 书 通常 是 用 于 及 保证 公开 网 络 上 的 数字 文档 。 
5. Windows Server 2003 的 事件 日 志文 件 分 为 、 
~ 4 大 类 。 
二 、 选 择 题 
1. 在 Windows Server 2003 系统 中 代表 一 个 用 户 、 组 或 计算 机 的 符号 是 
生生 A. AT B. SAD CG ACE D. SID 
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2. 在 Windows Server 2003 系统 中 怎样 改变 一 个 本 地 账户 密 
A. 在 用 户 管理 中 ， 右 击 账 户 


C. 在 本 地 安全 策略 中 ， 


右 击 账户 


3. 为 了 设置 基于 用 户 的 本 地 文件 权限 ，， 
A. FAT B. NIFS 


A. 日 志 B. 删除 文件 


5. 在 Windows Server 2003 系统 事件 查看 器 中 ，6007 号 事件 意味 着 


A. 一 次 不 成 功 的 登录 


C， 一 个 不 正当 的 关闭 事件 
本 位 实 训 


实 训 ”Windows Server 2003 策略 与 用 户 权 限 配置 


实 训 目的 


B. 在 本 地 安全 中 ， a 
D. 在 本 地 用 户 和 组 中 ， 右 击 账户 


必须 采用 
Cc. UD 


4. 没有 启用 NTFS 之 前 ， 下 面 功能 不 能 用 。 


C. 审核 


B. 关机 事件 


D. 一 个 错误 


文件 系统 。 
D. GD 


D. 建立 用 户 共享 


的 服务 


掌握 Windows Server 2003 操作 系统 有 关 策 略 配置 、 用 户 权限 配置 的 相关 概念 和 操作 


方法 。 
实 训 环境 


安装 了 Windows Server 2003 操作 系统 的 服务 器 。 


操作 步骤 


1. Windows Server 2003 策略 配置 


第 1 步 : 执行 “开始 ”一 


打开 “组 策略 编辑 器 ”窗口 ， 如 图 4.36 所 示 。 


ET TE 


“运行 ”命令 ， 在 “打开 ”文本 框 中 输入 gpedit.msc 命令 ， 


= 回忆 


中 ~ 回 | 呵 双 | 国 医 
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图 4.36 “组 策略 编辑 器 ”窗口 
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第 2 步 : 依次 展开 “计算 机 配置 ”一 “Windows 设置 ”一 “安全 设置 ”一 “本 地 策略 ”一 
“安全 选项 ”文件 夹 ， 在 其 中 完成 本 地 策略 的 各 种 安全 设置 ， 如 图 4.37 所 示 。 双 击 其 中 的 任何 
一 个 策略 设置 选项 ， 将 出 现 一 个 相应 内 容 的 对 话 框 来 提示 操作 者 进行 参数 的 输入 或 选择 。 


ET LI 
ET 


人 了 | 加 田 | 如 | 四 加 


大 i 不必 录取 给 CS 
名。 信 这 想 开 信和 江 中 可 也 bininistrniors :| 


图 4.37 本 地 策略 的 各 种 安全 设置 
2. Windows Server 2003 用 户 权 限 配置 


第 1 步 : 执行 “开始 ”一 “运行 ”命令 ,在 “打开 ”文本 框 输入 gpedit.msc 命令 ， 单 
击 “ 确 定 ”按钮 ， 打 开 “ 组 策略 编辑 器 ”窗口 。 

第 2 步 : 在 “组 策略 编辑 器 ”窗口 中 依次 展开 “计算 机 配置 ”一 “Windows 设置 ”一 
“安全 设置 ”一 “本 地 策略 ”一 “用 户 权 限 分 配 ” 文 件 夹 ， 在 其 中 进行 本 地 用 户 权 限 的 各 
种 安全 设置 ， 如 图 4.38 所 示 。 

第 3 步 : 双击 “用 户 权限 分 配 ” 文 件 夹 中 的 任何 一 个 用 户 权 限 设 置 选 项 ， 将 出 现 一 个 
相应 内 容 的 对 话 框 ， 要求 操作 者 选择 该 权限 的 拥有 者 一 一 用 户 或 组 ， 单 击 “ 添 加 用 户 或 组 ” 
按钮 即 可 对 用 户 或 组 进行 添加 ， 而 选择 已 有 的 任何 一 个 用 户 或 组 ， 则 可 以 通过 单 击 “ 删 除 ” 
按钮 来 删除 该 用 户 或 组 。 


ET TE 
全 二 | 名 轿 | 馈 | 国 加 


‘yy 图 4.38 用 户 权 限 分 配 设置 
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第 5 章 
防火 墙 应 用 技术 


> ”理解 防火 墙 的 概念 、 功 能 特点 及 安全 性 。 
> 掌握 防火 墙 的 分 类 、 防 火 墙 的 系统 结构 。 
> 了 解 防火 墙 的 发 展 趋势 。 


> 掌握 常见 防火 墙 的 使 用 。 
> 掌握 常见 防火 墙 的 选 购 、 安 装 和 维护 。 
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企业 的 内 部 网 与 Internet 相连 , 方便 了 企业 内 部 之 间 以 及 企业 与 外 部 的 信息 交流 , 提高 

工作 效率 。 然 而 ， 一 旦 企业 内 部 网 连 入 Intemet， 就 意味 着 Intemet 上 的 每 个 用 户 都 有 可 
访问 企业 内 部 网 。 如 果 没 有 一 个 安全 性 保护 措施 ， 黑 客 们 可 能 会 在 用 户 毫 无 察觉 的 情况 
进入 企业 内 部 网 ， 非 法 访问 企业 的 资源 。 而 防火 墙 就 是 保护 企业 内 部 网 中 信息 安全 的 一 
重要 措施 。 


虽 了 本 修一 


5.1] 也 类 增 玻 术 简 介 


防火 墙 (Firewall) 是 一 种 能 将 内 部 网 和 公众 网 分 开 的 技术 ， 它 能 限制 被 保护 的 网 络 与 
互联 网 及 其 他 网 络 之 间 进 行 的 信息 存 取 、 传 递 等 操作 。 在 构建 安全 的 网 络 环境 过 程 中 ， 防 
火 墙 作为 第 一 道 安全 防线 ， 正 受到 越 来 越 多 用 户 的 关注 。 


5.1.1 防火 墙 的 概念 


防火 墙 技术 最 初 是 针对 Intemet 网 络 不 安全 因素 所 采取 的 一 种 保护 措施 。 顾名思义 ， 防 
火 墙 就 是 用 来 阻挡 外 部 不 安全 因素 影响 内 部 网 络 的 屏障 ， 其 目的 就 是 防止 外 部 网 络 用 户 未 
经 授权 的 访问 。 它 是 一 种 计算 机 硬件 和 软件 的 结合 ， 使 Intemet 与 Intranet 之 间 建 立 起 一 个 
安全 网 关 (Security Gateway)， 从 而 保护 内 部 网 免 受 非法 用 户 的 侵入 。 防 火 墙 主要 由 服务 访 
问 政策 、 验 证 工具 、 包 过 滤 和 应 用 网 关 4 个 部 分 组 成 ， 其 就 是 一 个 位 于 计算 机 和 它 所 连接 
的 网 络 之 间 的 软件 或 硬件 〈 其 中 硬件 防火 墙 用 的 很 少 ， 只 有 国防 部 等 单位 才 用 ， 因 为 它 的 
价格 昂贵 )。 安 装 防火 墙 的 计算 机 流入 流出 的 所 有 网 络 通信 均 要 经 过 此 防火 墙 。 

防火 墙 实际 上 是 一 种 访问 控制 技术 ， 它 在 一 个 被 认为 是 安全 和 可 信 的 内 部 网 络 和 一 个 
被 认为 是 不 那么 安全 和 可 信 的 外 部 网 络 之 间 设置 障碍 ， 阻 止 对 信息 资源 的 非法 访问 ， 也 可 
以 阻止 保密 信息 从 受 保护 网 络 上 被 非法 输出 。 它 能 允许 你 “同意 ”的 人 和 数据 进入 你 的 网 
络 ， 同 时 将 你 “不 同意 ”的 人 和 数据 拒 之 网 外 。 换 句 话说 ， 如 果 不 通过 防火 墙 ， 可 信 网 络 
内 部 和 外 部 的 人 就 无 法 进行 通信 。 

防火 墙 是 一 类 防范 措施 的 总 称 , 不 是 一 个 音 
独 的 计算 机 程序 或 设备 。 在 物理 上 ， 它 通常 是 一 
组 硬件 设备 和 软件 的 多 种 组 合 。 在 逻辑 上 ， 它 是 
分 离 器 、 限 制 器 和 分 析 器 ， 可 有 效 地 监控 内 部 网 
和 公共 网 之 间 的 任何 活动 。 防火墙 是 不 同 网 络 或 
网 络 安全 域 之 间 信 息 的 唯一 出 入 口 ， 能 根据 一 定 
的 安全 政策 控制 出 入 网 络 的 信息 流 。 防火 墙 本 身 | lm yl! 
具有 较 强 的 抗 攻击 能 力 ， 是 提供 信息 安全 服务 、 es 六 
实现 网 络 和 信息 安全 的 基础 设施 。 如 图 5.1 所 示 

\、、 ， 为 防火 墙 示意 图 。 
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图 5.1 防火 墙 示 意图 


5.1.2 防火 墙 的 功能 


防火 墙 一 方面 对 经 过 它 的 网 络 通 信 进 行 扫描 ， 过 滤 掉 一 些 可 能 攻击 内 部 网 络 的 数据 。 
另 一 方面 防火 墙 可 以 关闭 不 使 用 的 端口 ， 能 禁止 特定 端口 通信 ， 封 锁 特洛伊 木马 。 它 可 以 
禁止 来 自 特殊 站 点 的 访问 ， 从 而 防止 来 自 不 明 入 侵 者 的 所 有 通信 。 具 体 来 说 ， 防 火 墙 的 作 
用 主要 体现 在 以 下 几 个 方面 。 

1. 防火 墙 是 网 络 安全 的 屏障 

一 个 防火 墙 〈 作 为 阻塞 点 、 控 制 点 ) 能 极 大 地 提高 一 个 内 部 网 络 的 安全 性 ， 并 通过 过 
滤 不 安全 的 服务 而 降低 风险 。 由 于 只 有 经 过 精心 选择 的 应 用 协议 才能 通过 防火 墙 ， 所 以 网 
络 环境 变 得 更 安全 。 如 防火 墙 可 以 禁止 诸如 众所周知 的 不 安全 的 NEFS 协议 进出 受 保护 网 络 ， 
这 样 外 部 的 攻击 者 就 不 可 能 利用 这 些 脆弱 的 协议 来 攻击 内 部 网 络 。 防 火 墙 同时 可 以 保护 网 
络 免 受 基于 路 由 的 攻击 ， 如 IP 选项 中 的 源 路 由 攻击 和 ICMP 重 定向 中 的 重 定向 路 径 。 防 火 
墙 应 该 可 以 拒绝 所 有 以 上 类 型 攻击 的 报 文 并 通知 防火 墙 管理 员 。 

2， 防火 墙 可 以 强化 网 络 安全 策略 

通过 以 防火 墙 为 中 心 的 安全 方案 配置 ， 能 将 所 有 安全 软件 (如 口令 、 加 密 、 身 份 认证 、 
审计 等 ) 配置 在 防火 墙 上 。 与 将 网 络 安全 问题 分 散 到 各 个 主机 上 相 比 ， 防 火 墙 的 集中 安全 
管理 更 经 济 。 例 如 在 网 络 访问 时 ， 一 次 一 密 口令 系统 和 其 他 的 身份 认证 系统 完全 可 以 不 必 
分 散在 各 个 主机 上 ， 而 集中 在 防火 墙 上 。 

3. 网 络 存 取 和 访问 监控 审计 

如 果 所 有 的 访问 都 经 过 防火 墙 ， 那 么 防火 墙 就 能 记录 下 这 些 访问 并 作出 日 志 记录 。 当 
发 生 可 疑 动作 时 ,防火墙 能 进行 适当 的 报警 ， 并 提供 网 络 是 否 受 到 监测 和 攻击 的 详细 信息 。 
另外 ， 收 集 一 个 网 络 的 使 用 和 误 用 情况 也 是 非常 重要 的 。 首 先是 可 以 清楚 防火 墙 是 否 能 够 
抵挡 攻击 者 的 探测 和 攻击 ， 并 且 清 楚 防 火 墙 的 控制 是 否 充 足 。 而 网 络 使 用 统计 对 网 络 需 求 
分 析 和 威胁 分 析 等 而 言 也 是 非常 重要 的 。 

4， 防止 内 部 信息 的 外 港 

通过 利用 防火 墙 对 内 部 网 络 的 划分 ， 可 实现 对 内 部 网 重点 网 段 的 隔离 ， 从 而 限制 了 局 
部 重点 或 敏感 网 络 安 全 问题 对 全 局 造成 的 影响 。 再 者 ， 隐 私 是 内 部 网 络 非常 关心 的 问题 ， 
一 个 内 部 网 络 中 不 引 人 注 意 的 细节 可 能 包含 了 有 关 安 全 的 线索 而 引起 外 部 攻击 者 的 兴趣 ， 
甚至 因此 而 暴露 了 内 部 的 某 些 安全 漏洞 。 使 用 防火 墙 就 可 以 隐蔽 一 些 内 部 细节 ， 如 Finger、 
DNS 等 服务 。Finger 显示 的 信息 非常 容易 被 攻击 者 所 获悉 ， 攻 击 者 可 以 知道 一 个 系统 使 用 
的 频繁 程度 、 这 个 系统 是 否 有 用 户 正 在 连 线 上 网 、 这 个 系统 是 否 在 被 攻击 时 引起 注意 等 。 
防火 墙 可 以 同样 阻塞 有 关内 部 网 络 中 的 DNS 信息 ， 这 样 一 台 主机 的 域名 和 IP 地 址 就 不 会 
被 外 界 所 了 解 了 。 


5. 防火 墙 支持 具有 Intemet 服务 特性 的 企业 内 部 网 络 技术 体系 VPN 


通过 VPN， 将 企 事业 单位 分 布 在 全 世界 各 地 的 LAN 或 专用 子 网 ， 有 机 地 联 成 一 个 整 
体 ， 不 仅 省 去 了 专用 通信 线路 ， 而 且 为 信息 提供 了 技术 保障 。 \ 1/ 
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5.1.3 防火 墙 的 缺陷 


尽管 防火 墙 有 许多 防范 功能 ,但 由 于 互联 网 的 开放 性 ,， 它 也 有 一 些 不 尽 如 人 意 的 地 方 。 
主要 表现 在 以 下 几 个 方面 : 

(1) 防火 墙 可 以 阻 断 攻击 ， 但 不 能 消灭 攻击 源 。“ 各 扫 自 家 门 前 雪 ， 不 管 他 人 瓦 上 霜 ” 
就 是 目前 网 络 安全 的 现状 。 互 联网 上 病毒 、 木 马 、 恶 意 试探 等 造成 的 攻击 行为 络绎 不 绝 ， 
设置 得 当 的 防火 墙 能 够 阻挡 它们 ， 但 是 无 法 清除 攻击 源 。 即 使 防火 墙 进行 了 良好 的 设置 ， 
使 得 攻击 无 法 穿 透 防火 墙 ， 但 各 种 攻击 依然 会 源源 不 断 地 向 防火 墙 发 出 尝试 。 例 如 接 主干 
网 10MB 网 络 带宽 的 某 站 点 ， 其 日 常 流量 中 平均 有 512KB 左右 的 攻击 行为 。 那 么 ， 即 使 成 
功 设置 了 防火 墙 ， 这 512KB 的 攻击 流量 依然 不 会 有 丝毫 减少 。 

(2) 防火 墙 不 能 抵御 最 新 的 未 设置 策略 的 攻击 漏洞 。 就 如 杀毒 软件 与 病毒 一 样 ， 总 是 
先 出 现 病 毒 ， 杀 毒 软件 经 过 分 析出 特征 码 后 加 入 到 病毒 数据 库 内 才能 查 杀 。 防 火 墙 的 各 种 
策略 ， 也 是 在 该 攻击 方式 经 过 专家 分 析 后 给 出 特征 才 设 置 的 。 如 果 新 发 现 某 个 主机 漏洞 的 
黑客 把 第 一 个 攻击 对 象 选 定 为 该 主机 所 在 的 网 络 ， 那 么 防火 墙 也 没有 办 法 。 

(3) 防火 墙 的 并 发 连接 数 限制 容易 导致 拥塞 或 者 溢出 。 由 于 要 判断 、 处 理 流 经 防火 墙 
的 每 一 个 包 ， 因 此 防火 墙 在 某 些 流量 大 、 并 发 请 求 多 的 情况 下 ， 很 容易 导致 拥塞 ， 成 为 整 
个 网 络 的 瓶颈 从 而 影响 性 能 。 而 当 防 火 墙 溢出 时 ， 整 个 防线 就 如 同 虚 设 ， 原 本 被 禁止 的 连 
接 也 能 从 容 通过 了 。 

(4) 防火 墙 对 服务 器 合法 开放 的 端口 的 攻击 大 多 无 法 阻止 。 某 些 情况 下 ， 攻 击 者 利用 
服务 器 提供 的 服务 进行 缺陷 攻击 ,例如 利用 开放 了 3389 端口 取得 没 打 过 SP 补丁 的 Windows 
2000 的 超级 权限 、 利 用 ASP 程序 进行 脚本 攻击 等 。 由 于 其 行为 在 防火 墙 一 级 看 来 是 “合理 ” 
和 “合法 ”的 ， 由 此 就 被 简单 地 放行 了 。 


S.1.4 防火 墙 技术 的 发 展 趋 势 


随 着 新 的 网 络 工具 的 出 现 ， 防 火 墙 技术 也 有 一 些 新 的 发 展 趋势 。 这 主要 可 以 从 包 过 滤 
技术 、 防 火 墙 体系 结构 和 防火 墙 系统 管理 3 方面 来 体现 。 

1， 防 火 墙 包 过 滤 技 术 发 展 趋势 

(1) 一 些 防 火 墙 厂 商 把 在 AAA 系统 上 运用 的 用 户 认证 及 其 服务 器 扩展 到 防火 墙 中 ， 
使 其 拥有 可 以 支持 基于 用 户 角 色 的 安全 策略 功能 。 该 功能 在 无 线 网 络 应 用 中 非常 必要 。 具 
有 用 户 身份 验证 的 防火 墙 通常 是 采用 应 用 级 网 管 技术 的 ， 包 过 滤 技 术 的 防火 墙 不 具有 。 用 
户 身份 验证 功能 越 强 ， 它 的 安全 级 别 越 高 ， 但 它 给 网 络 通信 带 来 的 负面 影响 也 越 大 ， 因 为 
用 户 身份 验证 需要 时 间 ， 特 别 是 加 密 型 的 用 户 身份 验证 。 

(2) 多 级 过 滤 技 术 。 是 指 防火 墙 采用 多 级 过 滤 措 施 , 并 辅 以 鉴别 手段 。 在 分 组 过 滤 (网 
络 层 ) 一 级 , 过滤 掉 所 有 的 源 路 由 分 组 和 假冒 的 他 源 地 址 ; 在 传输 层 一 级 , 遵循 过 滤 规 则 ， 
过 滤 掉 所 有 禁止 出 或 入 的 协议 和 有 害 数据 包 ， 如 nuke 包 、 圣 诞 树 包 等 ;在 应 用 网 关 〈 应 用 
层 ) 一 级 ， 能 够 利用 FTP、SMTP 等 各 种 网 关 ， 控 制 和 监测 Intemet 提供 的 所 用 通用 服务 。 


vv ”这 是 针对 以 上 各 种 已 有 防火 增 技 术 的 不 足 而 产生 的 一 种 综合 型 过 滤 技 术 ， 它 可 以 弥补 以 上 
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各 种 单独 过 滤 技 术 的 不 足 。 

(3) 使 防火 墙 具 有 病毒 防护 功能 。 现 在 通常 被 称 之 为 病毒 防火 墙 ， 当 然 目前 主要 还 是 
在 个 人 防火 墙 中 体现 ， 因 为 它 是 纯 软 件 形 式 ， 更 容易 实现 。 这 种 防火 墙 技术 可 以 有 效 地 防 
止 病毒 在 网 络 中 的 传播 ， 比 等 待 攻击 的 发 生 更 加 积极 。 拥 有 病毒 防护 功能 的 防火 墙 可 以 大 
大 减少 公司 的 损失 。 

2. 防火 墙 的 体系 结构 发 展 趋势 

随 着 网 络 应 用 的 增加 ， 对 网 络 宽带 提出 了 更 高 的 要 求 ， 这 意味 着 防火 墙 要 能 够 以 非常 
高 的 速率 处 理 数据 。 另 外 ， 在 以 后 几 年 里 ， 多 媒体 应 用 将 会 越 来 越 普通 ， 它 要 求 数据 穿 过 
防火 墙 所 带 来 的 延迟 要 足够 小 。 为 了 满足 这 种 需要 ， 一 些 防 火 墙 制造 商 开 发 了 基于 ASCI 
的 防火 墙 和 基于 网 络 处 理 器 的 防火 墙 。 从 执行 速度 的 角度 来 看 ， 基 于 网 络 处 理 器 的 防火 墙 
也 是 基于 软件 的 解决 方案 ， 它 需要 在 很 大 程度 上 依赖 于 软件 的 性 能 ， 但 是 由 于 这 类 防火 墙 
中 有 一 些 专门 用 于 处 理 数 据 层面 任务 的 引擎 ， 从 而 减轻 了 CPU 的 负担 ， 该 类 防火 墙 的 性 能 
要 比 传 统 防 火 墙 的 性 能 好 许多 。 

与 基于 ASIC 的 纯 硬 件 防火 墙 相 比 ， 基 于 网 络 处 理 器 的 防火 墙 具 有 软件 色彩 ， 因 而 更 
加 具有 灵活 性 。 

基于 ASIC 的 防火 墙 使 用 专门 的 硬件 处 理 网 络 数据 流 ， 比 起 前 两 种 的 防火 墙 具 有 更 好 
的 性 能 ， 但 是 纯 硬件 的 ASIC 防火 墙 缺 乏 可 编程 性 ， 这 就 使 得 它 缺 乏 灵 活性 ， 从 而 跟 不 上 
防火 墙 功能 的 快速 发 展 。 理 想 的 解决 方案 是 增加 ASIC 芯片 的 可 编程 性 ， 使 其 与 软件 更 好 
地 配合 。 这 样 的 防火 墙 就 可 以 同时 满足 来 自 灵 活性 和 运行 性 能 的 要 求 。 

3， 防火 墙 的 系统 管理 发 展 趋势 


(1) 首先 是 集中 式 管理 ， 分 布 式 和 分 层 的 安全 结构 是 将 来 的 趋势 。 集 中 式 管 理 可 以 降 
低 管理 成 本 ， 并 保证 在 大 型 网 络 安全 策略 上 的 一 致 性 。 快 速 响应 和 快速 防御 也 要 求 采 用 集 
中 式 管 理 系统 。 目 前 这 种 分 布 式 防火 墙 早已 在 Cisco、3Com 等 大 的 网 络 设备 开发 商 中 开放 
成 果 ， 也 就 是 目前 所 称 的 分 布 式 防 火 墙 和 嵌入 式 防火 墙 。 

(2) 强大 的 审计 功能 和 自动 日 志 分 析 功 能 。 这 两 点 的 应 用 可 以 更 早 地 发 现 潜在 的 威胁 
并 预防 攻击 的 发 生 。 日 志 功能 还 可 以 让 管理 员 有 效 地 发 现 系统 中 存在 的 安全 漏洞 ， 及 时 地 
调整 安全 策略 等 各 方面 管理 ， 具 有 非常 大 的 帮助 。 不 过 具有 这 种 功能 的 防火 墙 通常 是 比较 
高 级 的 ， 早 期 的 静态 包 过 滤 防 火 墙 不 具有 这 种 功能 。 

(3) 随 着 网 络 安全 技术 的 发 展 ， 现 在 有 一 种 说 法 ， 叫 做 建立 以 防火 墙 为 核心 的 网 络 安 
全 体系 。 因 为 在 现实 中 发 现 ， 仅 现 有 的 防火 墙 技术 难以 满足 当前 网 络 安全 需求 ， 通 过 建立 
一 个 以 防火 墙 为 核心 的 安全 体系 ， 就 可 以 为 内 部 网 络 系统 部 署 多 道 安 全 防线 ， 各 种 安全 技 
术 各 司 其 职 ， 从 各 方面 防御 外 来 入 侵 。 


5.2 防火 装 技 本 的 分 闪 


防火 墙 是 近期 发 展 起 来 的 一 种 保护 计算 机 网 络 安全 的 技术 性 措施 ， 它 是 一 个 用 以 阻止 
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网 络 中 的 黑客 访问 某 个 机 构 网 络 的 屏障 ， 在 网 络 边界 上 通过 建立 起 来 的 相应 网 络 监控 系统 
来 隔离 内 部 和 外 部 网 络 ， 以 阻挡 外 部 网 络 的 侵入 。 目 前 的 防火 墙 主要 有 两 大 类 ， 即 包 过 滤 
防火 墙 和 代理 防火 墙 。 


S.2.1 包 过 滤 防 火 墙 技术 


1. 包 过 滤 防 火 墙 技 术 

包 过 滤 (Packet Filtering) 技术 是 防火 墙 为 系统 提供 安全 保障 的 主要 技术 ， 它 依据 系统 
内 事先 设 定 的 过 滤 逻 辑 ， 通 过 设备 对 进出 网 络 的 数据 流 进行 有 选择 的 控制 与 操作 。 

包 过 滤 技 术 作 为 防火 墙 的 应 用 有 3 种 : 第 一 种 是 路 由 设备 在 完成 路 由 选择 和 数据 转发 
的 同时 进行 包 过 滤 ， 第 二 种 是 在 工作 站 上 使 用 软件 进行 包 过 滤 ; 第 三 种 是 在 一 种 称 为 屏蔽 
路 由 器 的 路 由 设备 上 启动 包 过 滤 功 能 。 目 前 较 常 用 的 方式 是 第 一 种 。 用 户 可 以 设 定 一 系列 
的 规则 ， 指 定 允许 哪些 类 型 的 数据 包 可 以 流入 或 流出 内 部 网 络 ， 哪 些 类 型 的 数据 包 的 传输 
应 该 被 拦截 。 

包 过 滤 技 术 作 用 在 网 络 层 和 传输 层 ， 以 了 P 包 信 息 为 基础 ， 对 通过 防火 墙 的 他 包 的 源 、 
目的 地 址 、TCP/UDP 的 端口 标识 符 及 ICMP 等 进行 检查 。 规 定 了 哪些 网 络 节点 何 时 可 通过 
防火 墙 访问 外 部 网 络 ， 哪 些 网 络 节点 可 访问 内 部 网 络 ， 或 者 哪些 用 户 只 能 使 用 E-mail， 而 
不 能 使 用 Telnet 和 FTP; 哪些 用 户 只 能 使 用 Telnet， 而 不 能 使 用 FTP 等 。 可 以 利用 安全 策 
略 形式 语言 描述 安全 配置 规则 ， 并 进行 一 致 性 检查 ， 达 到 方便 配置 安全 策略 的 目的 。 

包 过 滤 规 则 检查 数据 流 中 每 个 数据 包 后 ， 根 据 规则 来 确定 是 否 允许 数据 包 通 过 ， 其 核 
心 是 过 滤 算 法 的 设计 。 如 果 包 的 出 入 接口 相 匹 配 ， 并 且 规 则 允许 该 数据 包 通 过 ， 那 么 该 数 
据 包 就 会 按照 路 由 表 中 的 信息 被 转发 。 但 是 ， 如 果 包 的 出 入 接口 相 匹 配 ， 而 规则 拒绝 该 数 
据 包 ， 那 么 该 数据 包 也 会 被 丢弃 。 如 果 出 入 接口 未 设 匹 配 规 则 ， 用 户 配 置 的 默认 参数 会 决 
定 是 转发 还 是 丢弃 数据 包 。 

数据 包 过 滤 在 网 络 中 起 着 举足轻重 的 作用 ， 它 允许 用 户 在 某 个 地 方 为 整个 网 络 提供 特 
别 的 保护 。 例 如 ，Telnet 服务 器 在 TCP 的 23 号 端口 上 监听 远程 连接 ， 而 SMTP 服务 器 在 
TCP 的 25 号 端口 上 监听 连接 。 为 了 阻塞 所 有 进入 的 Telnet 连接 , 包 过 滤 路 由 器 只 需要 简单 
地 丢弃 所 有 TCP 端口 号 等 于 23 的 数据 包 。 为 了 将 进来 的 Telnet 连接 限制 在 内 部 的 数 台 机 
器 上 ， 包 过 滤 路 由 器 必须 拒绝 所 有 TCP 端口 号 等 于 23， 并 且 目 标 卫 地 址 不 等 于 允许 主机 
的 下 地 址 的 数据 包 。 

包 过 滤 操 作 可 以 在 路 由 器 上 进行 ， 也 可 以 在 网 桥 ， 甚 至 在 一 个 单独 的 主机 上 进行 ， 大 
多 数 数 据 包 过 滤 系 统 不 处 理 数 据 本 身 ， 它 们 不 根据 数据 包 的 内 容 做 决定 。 

2， 包 过 小 防火 墙 技术 的 优 缺点 

包 过 滤 防 火 墙 技术 有 很 多 优点 ， 主 要 体现 在 以 下 几 点 。 

(1) 包 过 滤 技 术 不 用 改动 客户 机 和 主机 上 的 应 用 程序 ， 因 为 过 滤 发 生 在 网 络 层 和 传输 
层 ， 与 应 用 无 关 。 

(2) 单独 的 、 恰 当 的 放置 数据 包 过 滤 路 由 器 有 助 于 整个 网 络 。 如 果 仅 有 一 个 路 由 器 连 
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接 内 部 网 络 和 外 部 网 络 ， 那 么 不 论 网 络 大 小 、 拓 扑 结构 如 何 ， 所 有 网 络 通信 都 要 通过 那个 
路 由 器 进行 数据 包 过 滤 ， 这 样 在 网 络 安全 方面 就 能 取得 较 好 的 效果 。 

(3) 数据 包 过 滤 技 术 对 用 户 没 有 特别 的 要 求 。 它 是 在 IP 层 实现 的 ， 不 要 求 任何 自 定 
义 的 软件 或 者 特别 客户 机 配置 ， 也 不 要 求 用 户 经 过 任何 特殊 训练 。 当 数据 包 过 滤 路 由 器 在 
检查 数据 包 时 ， 它 与 普通 路 由 器 没什么 区 别 ， 甚 至 用 户 感觉 不 到 它 的 存在 ， 除 非 用 户 试图 
做 一 些 数 据 包 过 滤 路 由 器 所 禁止 的 事 。 这 样 ， 数 据 包 过 滤 技 术 对 用 户 来 说 ， 具 有 较 强 的 透 
明度 ， 使 用 起 来 很 方便 。 

(4) 大 多 数 路 由 器 都 具有 数据 包 过 滤 功 能 ， 无论 是 商业 的 还 是 免费 的 ,许多 硬件 或 软 
件 路 由 产品 都 具有 数据 包 过 滤 能 力 ， 大 多 数 网 络 使 用 的 路 由 器 也 具有 这 种 功能 。 数 据 包 过 
滤 路 由 器 工作 时 一 般 只 检查 报头 相应 的 字段 ， 而 不 查看 数据 包 的 内 容 ， 而 且 有 些 核心 部 件 
是 由 专用 硬件 实现 的 ， 所 以 转发 速度 快 ， 效 率 比较 高 。 

由 以 上 优点 可 以 看 出 ， 数 据 包 过 滤 是 一 种 通用 、 廉 价 、 有 效 的 安全 手段 ， 说 它 通用 是 
因为 它 不 针对 各 个 具体 的 网 络 服务 采取 特殊 的 处 理 方式 ， 说 它 廉价 是 因为 大 多 数 路 由 器 都 
提供 分 组 过 滤 功 能 ;说 它 有 效 是 因为 它 在 很 大 程度 上 满足 了 企业 的 安全 要 求 。 

数据 包 过 滤 技 术 存在 的 缺陷 主要 体现 在 以 下 几 点 。 

(1) 在 过 滤 过 程 中 判别 的 只 有 网 络 层 和 传输 层 的 有 限 信息 ， 而 不 能 在 用 户 级 别 上 进行 
过 滤 ， 不 能 识别 不 同 的 用 户 和 防止 IP 地 址 的 盗用 ， 因 而 各 种 安全 要 求 不 可 能 充分 满足 。 例 
如 ， 攻 击 者 可 以 把 自己 主机 的 P 地 址 设 成 一 个 合法 主机 的 人 PP 地址， 这样 就 可 以 很 轻易 地 
通过 报 文 过 滤器 。 

(2) 在 许多 过 滤器 中 ， 过 滤 规 则 的 数目 是 有 限制 的 ， 随 着 规则 数目 的 增加 ， 设 备 性 能 
会 受到 很 大 地 影响 ， 导 致 用 户 难以 使 用 某 些 需要 的 规则 。 例 如 ， 它 们 只 能 确定 数据 包 来 自 
什么 主机 ， 而 不 能 指定 到 达 特 定 的 应 用 程序 ， 当 用 户 通过 端口 号 对 一 些 协议 实行 限制 时 ， 
其 他 的 协议 同时 也 被 禁止 了 。 

(3) 当前 的 过 滤 工 具 并 不 完善 ， 或 多 或 少 的 存在 一 些 局 限 性 。 如 数据 包 过 滤 规 则 难以 
配置 ， 甚 至 不 可 能 运行 ， 难 以 检查 数据 包 过 滤 规 则 ;许多 产品 的 数据 包 过 滤 能 力 不 足 等 。 

(4) 由 于 缺少 上 下 文 关联 信息 ， 数 据 包 过 滤 路 由 器 不 能 有 效 地 过 滤 诸 如 UDP、RPC、 
FTP 一 类 的 协议 。 

(5) 数据 包 过 滤 技 术 对 安全 管理 人 员 素质 要 求 较 高 。 建 立 安全 规则 时 ， 管 理 人 员 必 须 
对 协议 本 身 及 其 在 不 同 应 用 程序 中 的 作用 有 较 深 入 的 理解 。 

在 实际 应 用 中 ， 很 少 把 数据 包 过 滤 技 术 当 作 单 独 的 安全 解决 方案 ， 主 要 是 因为 数据 包 
过 滤 技 术 本 身 的 缺陷 。 包 过 滤 路 由 器 通常 是 和 应 用 网 关 配合 或 是 与 其 他 防火 墙 技术 一 起 使 
用 ， 共 同 组 成 防火 墙 系统 。 


5.2.2 代理 防火 墙 技术 
1， 代 理 防 火 墙 技术 


代理 防火 墙 技术 主要 是 代理 服务 器 (Proxy Server)。 代 理 服 务 器 是 指 代 理 内 部 网 络 用 
户 与 外 部 网 络 服务 器 进行 信息 交换 的 程序 。 它 可 以 将 内 部 用 户 的 请 求 确认 后 送 达 外 部 服务 SS 
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器 ， 同 时 将 外 部 服务 器 的 响应 再 送 给 用 户 。 这 种 技术 经 常 被 用 于 在 Web 服务 器 上 高 速 缓存 
信息 ， 扮 演 着 Web 客户 和 Web 服务 器 之 间 的 中 介 和 角色 。 它 主要 保存 Intemet 上 最 常用 和 最 
近 访 问 过 的 内 容 ， 可 为 用 户 提供 更 快 的 访问 速度 ， 并 且 提 高 了 网 络 安全 性 。 由 于 代理 服务 
器 在 外 部 网 络 向 内 部 网 络 申请 服务 时 发 挥 了 中 间 转 接 和 隔离 的 作用 ， 因 此 又 把 它 叫 做 代理 
防火 墙 。 

代理 防火 墙 作用 在 应 用 层 ， 用 来 提供 应 用 层 服务 的 控制 ， 其 特点 是 完全 阻隔 了 网 络 通 
舍 流 。 通 过 对 每 种 应 用 服务 编制 专门 的 代理 程序 ， 实 现 监视 和 控制 应 用 层 通信 流 的 作用 ， 
所 以 代理 防火 墙 又 被 称 为 应 用 代理 或 应 用 层 网 关 型 防火 墙 。 

应 用 层 网 关 型 防火 墙 控制 的 内 部 网 络 只 接受 代理 服务 器 提出 的 服务 请 求 ， 拒 绝 外 部 网 
络 其 他 节点 的 直接 请 求 。 它 同时 提供 了 多 种 方法 认证 用 户 。 当 确认 了 用 户 名 和 口令 后 ， 服 
务 器 根据 系统 的 设置 对 用 户 作 进一步 的 检查 ， 验 证 其 是 否 可 以 访问 本 服务 器 。 应 用 层 网 关 
型 防火 墙 还 对 进出 防火 墙 的 信息 进行 记录 ， 并 可 由 网 络 管理 员 用 来 监视 和 管理 防火 墙 的 使 
用 情况 , 实际 中 的 应 用 网 关 通 常 由 专用 代理 服务 器 实现 。 如 图 5.2 所 示 为 代理 防火 墙 的 示意 图 。 


图 5.2 代理 防火 墙 的 示意 图 
具体 来 说 ， 应 用 层 网 关 是 内 部 网 与 外 部 网 的 隔离 点 ， 掌 握 着 应 用 系统 中 可 用 做 安全 决 


策 的 全 部 信息 ， 这 使 得 网 络 管理 员 能 够 实现 比 包 过 滤 路 由 器 更 严格 的 安全 策略 。 应 用 层 网 
关 不 用 依赖 包 过 滤 工具 来 管理 Intemet 服务 在 防火 墙 系统 中 的 进出 , 而 是 采用 为 每 种 所 需 服 
务 安装 特殊 代码 的 方式 来 管理 Intemet 服务 。 如 果 网 络 管理 员 没 有 为 某 种 应 用 安装 代理 编 
码 ， 那 么 该 项 服务 就 不 被 支持 并 不 能 通过 防火 墙 系统 来 转发 。 同 时 ， 代 码 还 可 以 配置 成 只 
支持 网 络 管理 员 认 为 必须 的 部 分 功能 ， 从 而 有 效 地 防止 网 络 攻击 。 

2.， 代理 防火 墙 技术 的 优 缺 点 

代理 防火 墙 技术 的 优点 如 下 。 

(1) 代理 能 生成 各 项 记录 。 因 为 代理 工作 在 应 用 层 ， 它 检查 各 项 数据 ， 可 以 按 一 定 准 
则 ， 让 代理 生成 各 项 日 志 、 记 录 。 这 些 日 志 、 记 录 对 于 流量 分 析 、 安 全 检验 是 十 分 重要 和 
宝贵 的 。 当 然 ， 它 也 可 以 用 于 计 费 等 。 

(2) 代理 易于 配置 。 代 理 因为 是 一 个 软件 ， 所 以 它 较 路 由 器 更 易 配 置 。 配 置 界 面 十 分 
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友好 。 如 果 代 理 实现 得 好 ， 可 以 对 配置 协议 要 求 较 低 ， 从 而 避免 了 配置 错误 。 

(3) 代理 能 灵活 、 完 全 地 控制 进出 流量 、 内 容 。 通过 采取 一 定 措施 , 按照 一 定 的 规则 ， 
用 户 可 以 借助 代理 实现 一 整套 的 安全 策略 ， 比 如 可 控制 谁 和 什么 时 间 、 地 点 。 

(4) 代理 能 过 滤 数 据 内 容 。 用 户 可 以 把 一 些 过 滤 规 则 应 用 于 代理 ， 让 它 在 高 层 实 现 过 
滤 功能 ， 例 如 文本 过 滤 、 图 像 过 滤 〈 目 前 还 未 实现 ， 但 这 是 一 个 热点 研究 领域 )、 预 防 病毒 
或 扫描 病毒 等 。 

(5) 代理 可 以 方便 地 与 其 他 安全 手段 集成 。 目 前 的 安全 问题 解决 方案 很 多 ， 如 认证 、 
授权 、 账 户 、 数 据 加 密 、 安 全 协议 等 。 如 果 把 代理 与 这 些 手段 联合 使 用 ， 将 大 大 增加 网 络 
安全 性 。 

代理 防火 墙 技 术 的 缺点 如 下 。 

(1) 代理 对 用 户 不 透明 ， 大 多 代理 要 求 客户 端 做 相应 改动 或 安装 定制 客户 端 软件 ， 这 
给 用 户 增 加 了 不 透明 度 。 为 庞大 的 互联 网 络 中 的 每 一 台 内 部 主机 安装 和 配置 特定 的 应 用 程 
序 既 消耗 时 间 ， 又 容易 出 错 ， 因 为 它们 的 硬件 平台 和 操作 系统 都 存在 差异 。 

(2) 代理 速度 比 路 由 器 慢 。 路 由 器 只 是 简单 地 查看 TCP/IP 报头 , 检查 特定 的 几 个 域 ， 
不 做 详细 分 析 、 记 录 ， 而 代理 工作 于 应 用 层 ， 要 检查 数据 包 的 内 容 ， 按 特定 的 应 用 协议 进 
行 审查 、 扫 描 数据 包 内 容 ， 并 进行 转发 请 求 或 响应 ， 所 以 速度 较 慢 。 

(3) 对 于 每 项 服务 代理 可 能 要 求 不 同 的 服务 器 ， 可 能 需要 为 每 项 协议 设置 一 个 不 同 的 
代理 服务 器 。 因 为 代理 服务 器 不 得 不 理解 协议 以 便 判 断 什么 是 允许 的 和 不 允许 的 ， 并 且 还 
装扮 成 一 个 对 真实 服务 器 来 说 是 客户 ， 对 代理 客户 来 说 是 服务 器 的 角色 ， 挑 选 、 安 装 和 配 
置 这 些 不 同 服务 器 也 可 能 是 一 项 较 复杂 的 工作 。 

(4) 除了 一 些 为 代理 而 设 的 服务 处 ， 代 理 服务 器 要 求 对 客户 或 过 程 进行 限制 ， 每 一 种 
限制 都 有 不 足 之 处 ， 人 们 无 法 经 常 按 他 们 自己 的 步骤 使 用 快捷 可 用 的 工具 。 由 于 这 些 限 制 ， 
代理 应 用 就 不 能 像 非 代理 应 用 运行 的 那么 好 ， 它 们 往往 可 能 曲解 协议 的 说 明 ， 并 且 一 些 客 
户 和 服务 器 比 其 他 的 要 缺少 一 些 灵活 性 。 

(5) 代理 服务 器 不 能 保证 免 受 所 有 协议 弱点 的 限制 。 作 为 一 个 安全 问题 的 解决 方法 ， 
代理 取决 于 对 协议 中 哪些 是 安全 操作 的 判断 能 力 。 每 个 应 用 层 协议 ， 都 或 多 或 少 地 存在 一 
些 安全 问题 ， 对 于 一 个 代理 服务 器 来 说 ， 要 彻底 避免 这 些 安全 隐患 几乎 是 不 可 能 的 ， 除 非 
关 掉 这 些 服 务 。 代 理 取决 于 在 客户 端 和 真实 服务 器 之 间 插 入 代理 服务 器 的 能 力 ， 这 要 求 两 
者 之 间 交 流 的 相对 直接 性 ， 而 且 有 些 服务 的 代理 是 相当 复杂 的 。 

(6) 代理 不 能 改进 底层 协议 的 安全 性 。 因 为 代理 工作 于 应 用 层 ， 所 以 它 不 能 提高 底层 
通信 协议 的 能 力 。 而 这 些 方面 ， 对 于 一 个 网 络 的 健壮 性 是 相当 重要 的 。 

在 实际 应 用 中 ， 构 筑 防火 墙 的 解决 方案 很 少 采 用 单一 的 技术 ， 大 多 数 防火 墙 是 将 包 过 
滤 技 术 和 代理 服务 器 结合 起 来 使 用 的 。 


S.3 常见 的 孔 伙 关系 统 爷 构 


出 于 对 更 高 安全 性 的 要 求 , 通常 的 防火 墙 系统 是 多 种 解决 不 同 问题 的 技术 的 有 机 组 合 。 、 7 / 
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例如 ,把 基于 包 过 滤 的 方法 与 基于 应 用 代理 的 方法 结合 起 来 ， 就 形成 了 复合 型 防火 墙 产品 。 
目前 常见 的 有 以 下 几 种 配置 方法 。 

1， 屏蔽 路 由 器 

屏蔽 路 由 器 是 防火 墙 最 基本 的 构件 ， 是 最 简单 也 是 最 常见 的 防火 墙 。 屏蔽 路 由 器 作为 
内 外 连接 的 唯一 通道 ,要求 所 有 的 报 文 都 必须 在 此 通过 检查 。 路 由 器 上 可 以 安装 基于 人 P 层 
的 报 文 过 滤 软 件 ， 实 现 报 文 过 滤 功 能 。 许 多 路 由 器 本 身 带 有 报 文 过 滤 配 置 选项 ， 但 一 般 比 


较 简单 。 


pl 


这 种 配置 的 优点 是 容易 实现 、 费 用 少 ， 并 且 对 用 户 的 要 求 较 少 ， 使 用 方便 。 其 缺点 是 
日 志 记录 能 力 不 强 ， 规 则 表 庞 大 、 复 杂 ， 整 个 系统 依靠 单一 的 部 件 来 进行 保护 ， 一 旦 被 攻 
击 ， 系 统管 理 员 很 难 确 定 系统 是 否 正在 被 入 侵 或 已 经 被 入 侵 了 。 

2.， 双 宿主 主机 网 关 

双 宿主 主机 是 一 台 安装 有 两 块 网 卡 的 计算 机 ， 每 块 网 卡 有 各 自 的 瑟 地 址 ， 并 分 别 与 受 
保护 网 和 外 部 网 相连 。 如 果 外 部 网 络 上 的 计算 机 想 与 内 部 网 络 上 的 计算 机 进行 通信 ， 它 就 
必须 与 双 宿主 主机 上 与 外 部 相连 的 瑟 地 址 联系 , 代理 服务 器 软件 再 通过 另 一 块 网 卡 与 内 部 


网 络 相连 


lE 接 。 也 就 是 说 ， 外 部 网 络 与 内 部 网 络 不 能 直接 通信 ， 它 们 之 间 的 通信 必须 经 过 双 


宿主 主机 的 过 滤 和 控制 ， 如 图 5.3 所 示 。 


| -有 | | 
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图 53 双 宿主 主机 网 关 


这 种 配置 是 用 双 宿 主 主机 做 防火 墙 ， 两 块 网 卡 各 自在 主机 上 运行 着 防火 墙 软件 ， 可 以 
转发 应 用 程序 、 提 供 服务 等 。 应 该 指出 的 是 ， 在 建立 双 宿 主 主机 时 ， 应 该 关闭 操作 系统 的 


路 由 能 


， 否 则 从 一 块 网卡 到 另 一 块 网卡 的 通信 会 绕 过 代理 服务 器 软件 ， 而 使 双 宿 主 主机 


网 关 失 去 “防火 ”的 作用 。 

这 种 配置 的 优点 是 网 关 可 将 受 保护 网 络 与 外 界 完 全 隔离 ; 代理 服务 器 可 提供 日 志 ， 有 
助 于 网 络 管理 员 确认 哪些 主机 可 能 已 被 入 侵 ; 同时 ， 由 于 它 本 身 是 一 台 主 机 ， 所 以 可 用 于 
诸如 身份 验证 服务 器 及 代理 服务 器 ， 使 其 具有 多 种 功能 。 它 的 缺点 是 双 宿 主 主机 的 每 项 服 
务必 须 使 用 专门 设计 的 代理 服务 器 ， 即 使 较 新 的 代理 服务 器 能 处 理 几 种 服务 ， 也 不 能 同时 
进行 ， 另 外 ， 一 旦 双 宿 主 主 机 受到 攻击 ， 并 使 其 只 具有 路 由 功能 ， 那 么 任何 网 上 用 户 都 可 
以 随便 访问 内 部 网 络 了 ， 这 将 严重 损害 网 络 的 安全 性 。 

3. 屏蔽 主机 网 关 

屏蔽 主机 网 关 由 屏蔽 路 由 器 和 应 用 网 关 组 成 ， 屏 项 路 由 器 的 作用 是 包 过 滤 ， 应 用 网 关 


的 作用 是 代理 服务 。 这 样 ， 在 内 部 网 络 和 外 部 网 络 之 间 建 立 了 两 道 安 全 屏障 ， 既 实现 了 网 
络 层 安全 ， 又 实现 了 应 用 层 安 全 。 来 自 外 部 网 络 的 所 有 通信 都 会 连接 到 屏蔽 路 由 器 ， 它 根 
据 所 设置 的 规则 过 滤 这 些 通信 。 在 多 数 情况 下 , 与 应 用 网 关 之 外 的 机 器 的 通信 都 会 被 拒绝 。 
网 关 的 代理 服务 器 软件 用 自己 的 规则 ， 将 被 允许 的 通信 传送 到 受 保护 的 网 络 上 。 在 这 种 情 
况 下 ， 应 用 网 关 只 有 一 块 网 卡 ， 因 此 它 不 是 双 宿主 主机 网 关 ， 如 图 5.4 所 示 。 
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图 5.4 屏蔽 主机 网 关 

屏蔽 主机 网 关 比 双 宿 主 主机 网 关 设 置 更 加 灵活 ， 它 可 以 设置 成 使 屏蔽 路 由 器 将 某 些 通 
信和 直接 传 到 内 部 网 络 的 站 点 ， 而 不 是 传 到 应 用 层 网 关 。 另 外 ， 屏 蔽 主机 网 关 具 有 双重 保护 ， 
安全 性 更 高 。 它 的 缺点 主要 是 由 于 要 求 对 两 个 部 件 配置 ， 使 它们 能 协同 工作 ， 所 以 屏蔽 主 
机 的 主机 将 失去 任何 的 安全 保护 ， 使 整个 网 络 对 攻击 者 敞开 。 

4， 屏 项 子 网 

屏蔽 子 网 系统 结构 是 在 屏蔽 主机 网 关 的 基础 上 再 加 上 一 个 屏蔽 路 由 器 ， 两 个 路 由 器 放 
在 子 网 的 两 端 ， 三 者 形成 了 一 个 被 称 为 “ 非 军事 区 ”的 子 网 ， 如 图 5.5 所 示 。 


服务 器 ”工作 站 工作 站 ”工作 站 
图 5.5 屏蔽 子 网 


这 种 方法 在 内 部 网 络 和 外 部 网 络 之 间 建 立 了 一 个 被 隔离 的 子 网 。 用 两 台 屏 蔽 路 由 器 将 
这 一 子 网 分 别 与 内 部 网 络 和 外 部 网 络 分 开 。 内 部 网 络 和 外 部 网 络 均 可 访问 屏蔽 子 网 ， 但 禁 
止 它们 穿 过 屏蔽 子 网 通信 。 外 部 屏蔽 路 由 器 和 应 用 网 关 与 在 屏蔽 主机 网 关中 的 功能 相同 ， 
内 部 屏蔽 路 由 器 在 应 用 网 关 和 受 保 护 网 络 之 间 提 供 附加 保护 。 为 了 入 侵 用 这 种 体系 结构 构 
筑 的 内 部 网 络 ， 攻 击 者 必须 通过 两 个 路 由 器 。 即 使 攻击 者 成 功 入 侵 了 应 用 网 关 ， 他 仍 将 面 
对 内 部 路 由 器 ， 这 就 消除 了 内 部 网 络 的 单一 入 侵 点 。 在 屏蔽 子 网 防火 墙 系统 结构 中 ， 应 用 
网 关 和 屏蔽 路 由 器 共同 构成 了 整个 防火 墙 的 安全 基础 。 

屏蔽 子 网 防火 墙 系统 结构 的 不 足 是 ， 它 要 求 的 设备 和 软件 模块 是 上 述 几 种 防火 墙 系统 
结构 中 最 多 的 ， 其 配置 也 相当 复杂 和 昂贵 。 


\ 
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5.4 防火 需 移 的 策略 


选用 防火 墙 首先 要 明确 哪些 数据 是 必须 保护 的 ， 这 些 数据 被 入 侵 会 导致 什么 样 的 后 果 
及 网 络 不 同 区域 需 要 什么 等 级 的 安全 级 别 。 因 此 ， 首 先 要 根据 信息 系统 安全 级 别 确定 ; 其 
次 才 是 防火 墙 的 功能 ， 选 用 防火 墙 必须 与 网 络 接口 匹配 ， 要 阻止 你 所 能 想到 的 威胁 ， 防 火 
墙 可 以 是 软件 或 硬件 模块 ， 并 能 集成 于 网 桥 、 网 关 、 路 由 器 等 设备 之 中 。 防 火 墙 的 选 购 原 
则 主要 有 以 下 几 方 面 。 

1. 防火 墙 自身 的 安全 性 

大 多 数 人 在 选择 防火 墙 时 都 将 注意 力 放 在 防火 墙 如 何 控制 连接 以 及 防火 墙 支持 多 少 种 
服务 上 ， 但 往往 忽略 一 点 ， 防 火 墙 也 是 网 络 上 的 主机 设备 ， 也 可 能 存在 安全 问题 。 防 火 墙 
如 果 不 能 确保 自身 安全 ， 则 防火 墙 的 控制 功能 再 强 也 终究 不 能 安全 保护 内 部 网 络 。 

通常 防火 墙 都 安装 在 一 般 的 操作 系统 (如 UNIX、Windows Server 2003 等 ) 上 。 在 防 
火 墙 主机 上 执行 的 除了 防火 墙 软件 外 ， 所 有 的 程序 、 系 统 核 心 ， 也 大 多 来 自 操作 系统 本 身 
的 原 有 程序 。 当 防火 墙 上 所 执行 的 软件 出 现 安全 漏洞 时 ， 防 火 墙 本 身 也 将 受到 威胁 。 此 时 ， 
任何 的 防火 墙 控制 机 制 都 可 能 失效 ， 因 为 当 一 个 黑客 取得 了 防火 墙 上 的 控制 权 以 后 ， 黑 客 
几乎 可 以 为 所 欲 为 地 修改 防火 墙 上 的 存 取 规则 ， 进 而 入 侵 更 多 的 系统 。 因 此 ， 防 火 墙 自身 
应 有 相当 高 的 安全 保护 。 

2. 应 考虑 的 特殊 需求 

企业 安全 策略 中 往往 有 些 特殊 需求 ， 不 是 每 一 个 防火 墙 都 会 提供 的 ， 这 是 选择 防火 墙 
需 考虑 的 因素 之 一 。 常 见 的 需求 如 下 : 

(1) 人 P 和 转换。 

进行 卫 转换 有 两 个 好 处 : 其 一 是 隐藏 内 部 网 络 真正 的 他, 这 可 以 使 黑客 无 法 直接 攻击 
内 部 网 络 ， 也 是 要 强调 防火 墙 自身 安全 性 问题 的 主要 原因 ; 另 一 个 好 处 是 可 以 让 内 部 网 络 
保留 地， 这 对 许多 了 P 不 足 的 企业 是 有 益 的 。 

(2) 双重 DNS。 

当 内 部 网 络 使 用 没有 注册 的 他 地 址 或 是 防火 墙 进行 人 P 转换 时 , DNS 也 必须 经 过 转换 。 
因为 ,同样 的 一 个 主机 在 内 部 的 下 与 给 予 外 界 的 下 将 会 不 同 ,有 的 防火 墙 会 提供 双重 DNS， 
有 的 则 必须 在 不 同 主机 上 各 安装 一 个 DNS。 

(3) 虚拟 专用 网 络 (VPN)。 

VPN 可 以 在 防火 墙 与 防火 墙 或 移动 的 Client 间 对 所 有 网 络 传输 的 内 容 加 密 ， 建 立 一 个 
虚拟 通道 ， 让 两 者 间 感 觉 是 在 同一 个 网 络 上 ， 可 以 安全 且 不 受 拘束 地 互相 存 取 ， 这 对 总 公 
司 与 分 公司 之 间或 公司 与 外 出 的 员工 之 间 ， 需 要 直接 联系 又 不 愿 花费 大 量 金钱 申请 专线 或 
用 长 途 电话 拨号 连接 时 ， 将 会 非常 有 用 。 

(4) 扫 毒 功能 。 

大 部 分 防火 墙 都 可 以 与 防 病毒 防火 墙 搭配 实现 扫 毒 功能 。 有 的 防火 墙 则 可 以 直接 集成 
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扫 毒 功能 ， 差 别 只 是 扫 毒 工作 是 由 防火 墙 完成 ， 或 是 由 另 一 台 专 用 的 计算 机 完成 。 

(5) 特殊 控制 需求 。 

有 时 候 企业 会 有 特别 的 控制 需求 ， 如 限制 特定 使 用 者 才能 发 送 E-mail，FTP 只 能 GET 
档案 不 能 PUT 档案 ， 限 制 同时 上 网 人 数 ， 还 有 使 用 时 间或 Block Java、ActiveX 等 ， 依 需 
求 不 同 而 定 。 

3， 防火墙 系统 的 稳定 性 和 可 靠 性 


就 一 个 成 熟 的 产品 来 说 ， 保 障 系统 的 稳定 性 是 最 基本 的 要 求 。 目 前 ， 由 于 种 种 原因 ， 
国内 有 些 防 火 墙 尚未 最 后 定型 或 没有 经 过 严格 的 、 大 量 的 测试 就 被 推 向 了 市 场 ， 这 样 一 来 ， 
其 稳定 性 就 可 想 而 知 了 。 防 火 墙 的 稳定 性 情况 从 厂家 的 宣传 材料 中 是 看 不 出 来 的 ， 但 可 以 
从 以 下 的 一 些 渠 道 获 得 ， 如 国家 权威 的 测评 认证 机 构 、 对 产品 的 咨询 、 调 查 及 试用 、 厂 商 
开发 研制 的 历史 及 实力 等 方面 。 

可 靠 性 对 防火 墙 设备 来 说 尤为 重要 ， 其 直接 影响 受 控制 网 络 的 可 用 性 。 提 高 可 靠 性 的 
措施 一 般 是 提高 本 身 部 件 的 强健 性 、 增 大 设计 阔 值 和 增加 元 余部 件 ， 这 要 求 有 较 高 的 生产 
标准 和 设计 元 余 度 ， 如 使 用 工业 标准 、 电 源 热 备份 、 系 统 热 备份 等 。 

4. 防火 墙 的 性 能 

高 性 能 是 防火 墙 的 一 个 重要 指标 ， 它 直接 体现 了 防火 墙 的 可 用 性 ， 也 体现 了 用 户 使 用 
防火 墙 所 需 付 出 的 安全 代价 。 如 果 由 于 使 用 防火 墙 而 带 来 了 网 络 性 能 较 大 幅度 下 降 ， 就 意 
味 着 安全 代价 过 高 ， 用 户 是 无 法 接受 的 。 一 般 来 说 ， 防 火 墙 加 载 上 百 条 规则 后 ， 其 性 能 
降 不 应 超过 5%。 

对 通信 行为 的 有 效 控制 ， 要 求 防火 墙 设备 有 一 系列 不 同 级 别 ， 以 满足 不 同 用户 的 各 类 
安全 控制 需求 。 防 火 墙 控制 的 有 效 性 、 多 样 性 、 级 别 目标 的 清晰 性 、 制 定 的 难 易 性 和 经 济 
性 等 ， 体 现 着 防火 墙 的 高 效 和 质量 。 例 如 对 普通 用 户 ， 只 要 对 中 地 址 进行 过 滤 即 可 ; 如 果 
是 内 部 有 不 同安 全 级 别 的 子 网 ， 有 时 则 必须 允许 高 级 别 子 网 对 低级 别 子 网 进行 单 向 访问 ， 

如 果 还 有 移动 用 户 的 话 ， 还 要 求 能 根据 用 户 身份 进行 过 滤 。 

防火 墙 过 滤 报 文 时， 最 基础 的 是 针对 人 P 地 址 进行 过 滤 。 而 IP 地 址 是 非常 容易 修改 的 

只 要 打听 到 内 部 网 里 谁 可 以 穿 过 防火 墙 ， 那 么 将 自己 的 瑟 地 址 改 成 与 他 的 一 样 就 可 以 了 。 
这 就 需要 一 个 针对 用 户 身份 而 不 是 瑟 地 址 进行 过 滤 的 办 法 。 目 前 防火 墙 上 常用 的 一 次 性 口 
令 验 证 机 制 ， 通 过 特殊 的 算法 ， 保 证 用 户 在 登录 防火 墙 时 ， 口 令 不 会 在 网 络 上 泄露 ， 这 样 ， 
防火 墙 就 可 以 确认 登录 上 来 的 用 户 确实 与 他 所 声称 的 一 致 。 

用 户 的 网 络 不 是 一 成 不 变 的 , 防火 墙 现在 可 能 主要 是 在 内 部 网 和 外 部 网 之 间 进 行 过 滤 ， 
随 着 网 络 的 发 展 ， 内 部 网 络 可 能 出 现 具有 不 同安 全 级 别 的 子 网 ， 这 时 就 需要 在 子 网 之 间 过 
滤 。 因 此 ， 在 购买 防火 墙 时 必须 清楚 是 否 可 以 增加 网 络 接口 、 是 否 具有 扩展 性 。 

随 着 网 络 技术 的 发 展 和 黑客 攻击 手段 的 不 断 变化 ， 防 火 墙 也 必须 不 断 地 进行 升级 ， 此 
时 支持 软件 升级 就 很 重要 了 。 如 果 不 支持 软件 升级 的 话 ， 为 了 抵御 新 的 攻击 手段 ， 用 户 就 
必须 进行 硬件 上 的 更 换 ， 而 在 更 换 期 间 你 的 网 络 是 不 设防 的 ， 同 时 你 也 要 为 此 花费 更 多 
的 钱 。 
所 和 这 
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5. 防火墙 配置 的 方便 性 

在 网 络 入 口 和 出 口 处 安装 新 的 网 络 设备 是 比较 复杂 的 ， 这 意味 着 必须 修改 几乎 所 有 现 
有 设备 的 配置 ， 因 此 ， 应 选用 方便 配置 的 、 支 持 透 明 通 信 的 防火 墙 。 它 在 安装 时 不 需要 对 
原 网 络 配 置 做 任何 改动 ， 所 做 的 工作 只 相当 于 连接 一 个 网 桥 或 HUB。 需 要 时 ， 两 端 连 线 就 
可 以 工作 ; 不 需要 时 ， 将 网 线 恢复 原状 即 可 。 

防火 墙 的 管理 在 充分 考虑 安全 需要 的 前 提 下 , 必须 提供 更 方便 灵活 的 管理 方式 和 方法 ， 
通常 体现 为 管理 途径 、 管 理工 具 和 管理 权限 。 防 火 墙 设备 首先 是 一 个 网 络 通信 设备 ， 管 理 
途径 的 提供 要 兼顾 通常 网 络 设备 的 管理 方式 。 管 理工 具 主 要 为 GUI 类 管理 器 ， 用 它 管 理 很 
直观 ， 这 对 于 设备 的 初期 管理 和 不 太 熟 悉 的 管理 人 员 来 说 是 一 种 有 效 的 管理 方式 。 权 限 管 
理 是 管理 本 身 的 基础 ， 但 是 ， 应 防止 严格 的 权限 认证 可 能 带 来 的 管理 方便 性 的 降低 。 

以 上 就 是 选 购 防 火 墙 时 需要 注意 的 一 些 问 题 ， 同 时 要 明白 ， 没 有 一 种 技术 可 以 百 分 之 
百 地 解决 网 络 上 的 所 有 问题 。 网 络 安全 会 受到 许多 因素 的 影响 ， 诸 如 安全 策略 、 职 员 的 技 
术 背 景 、 费 用 以 及 估计 可 能 受到 的 攻击 等 。 只 有 正确 地 认识 防火 墙 ， 合 理 使 用 ， 才 是 最 安 
全 的 。 


5.5 防 大 墙 实例 


5.5.1 常见 的 防火 墙 软件 介绍 


防火 墙 是 网 络 安全 中 重要 的 第 一 防线 ， 越 来 越 多 的 人 认识 到 安装 防火 墙 的 重要 性 。 下 
面 介绍 几 个 防火 墙 软件 产品 ， 这 些 产 品 的 生产 厂家 都 获得 了 国际 计算 机 安全 协会 的 认证 资 
格 ， 所 以 不 需要 测试 网 络 抵御 攻击 的 能 力 。 

1. Check Point Firewall-1 


Check Point (http://www.checkpoint.com) 公司 推出 的 Firewall-1 共 支 持 两 个 平台 : 一 
个 是 UNIX 平台; 另 一 个 是 Windows NT 平台 。Firewall-1 具有 一 种 很 特别 的 结构 ， 称 为 多 
层次 状态 监视 结构 。 这 种 结构 让 Firewall-1 可 以 对 复杂 的 网 络 应 用 软件 进行 快速 支持 。 也 
因为 这 个 功能 ， 使 得 Check Point 也 提供 了 一 套 APL 供 开发 者 使 用 ， 以 便 开发 更 多 的 辅助 
工具 。 

Firewall-1 提供 了 最 佳 权限 控制 、 最 佳 综 合 性 能 及 简单 明了 的 管理 。 除 了 NAT 外 ， 它 
还 具有 用 户 认证 功能 。 对 于 FTP， 可 以 根据 put、set 以 及 文件 名 加 以 限制 。 对 于 SMTP， 
它 可 以 丢弃 超过 一 定 大 小 的 邮件 、 对 邮件 进行 病毒 扫描 ， 以 及 改写 邮件 头 信息 。Firewall-1 
还 可 以 防止 有 害 SMTP 命令 (如 Debug) 的 执行 。 

Firewall-1 的 用 户 界面 是 网 络 控制 中 心 ， 定义 和 实施 复杂 的 安全 规则 非常 容易 。 每 个 规 
则 还 有 一 个 域 用 于 文档 记录 ， 如 为 什么 制定 这 条 规则 ， 何 时 制定 及 由 谁 制定 。 

2.， 赛 门 铁 克 (Symantec ) 防火 墙 SGS5660 

赛 门 铁 克 〈Symantec) 防火 墙 SGS5660 是 赛 门 铁 克 〈Symantec) 公司 系列 防火 墙 产品 
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之 一 。 属 于 大 中 小 企业 级 千 兆 防火 墙 ， 具 有 10 个 自 适应 (10/100/1000M) 以 太 网 端口 ， 最 
大 吞吐 量 为 3Gbps， 支持 VPN、 入 侵 检 测 、 日 志 管 理 、 网 关 防 病毒 、 入 侵 防御 、 内 容 过 滤 、 
防 垃圾 邮件 。 

在 功能 特点 上 ， 赛 门 铁 克 (Symantec) 防火 墙 SGS5660 支持 AES and 3DES 加 密 技 术 ， 支 
持 XDSL、 有 线 调制 解 调 器 、POP3 代理 、VLAN、802.1Q VLAN trunk、 动 态 路 由 协议 以 及 简 
化 的 GUI， 管 理 更 加 方便 ， 增 强 了 IPS 功能 和 签名 机 制 ， 增 强 了 垃圾 邮件 和 内 容 过 滤 功 能 。 


5.5.2 ”天 网 防火 墙 个 人 版 简介 


天 网 防火 墙 是 我 国 首 个 达到 国际 一 流水 平 ， 首 批 获得 国家 信息 安全 认证 中 心 、 国 家 公 
安 部 、 国 家 安全 部 认证 的 软 硬 件 一 体 化 网 络 安全 产品 ， 性 能 指标 及 技术 指标 达到 世界 同类 
产品 先进 水 平 。 天 网 防火 墙 发 展 到 现在 ， 已 经 在 多 项 网 络 安全 关键 技术 上 取得 重大 突破 ， 
特别 是 强大 的 DOS 防御 功能 足以 傲视 同行 。 

天 网 防火 墙 个 人 版 是 个 人 电脑 使 用 的 网 络 安全 程序 ， 根 据 管理 者 设 定 的 安全 规则 把 守 
网 络 ， 提 供 强 大 的 访问 控制 、 信 息 过 滤 等 功能 ， 帮 助 用 户 抵 挡 网 络 入 侵 和 攻击 ， 防 止 信息 
泄露 。 天 网 防火 墙 把 网 络 分 为 本 地 网 和 互联 网 ， 可 针对 来 自 不 同 网 络 的 信息 ， 来 设置 不 同 
的 安全 方案 ， 适 合 于 任何 方式 上 网 的 用 户 。 

(1) 严密 的 实时 监控 。 

天 网 防火 墙 个 人 版 对 所 有 来 自 外 部 机 器 的 访问 请 求 进行 过 滤 ， 发 现 非 授权 的 访问 请 求 
后 立即 拒绝 ， 随 时 保护 用 户 系统 的 信息 安全 。 

(2) 灵活 的 安全 规则 。 

天 网 防火 墙 个 人 版 设置 了 一 系列 安全 规则 ， 人 允许 特定 主机 的 相应 服务 ， 拒 绝 其 他 主机 的 
访问 要 求 。 用 户 还 可 以 根据 自己 的 实际 情况 ， 添 加 、 删 除 、 修 改 安全 规则 ， 保 护 本 机 安全 。 
(3) 应 用 程序 规则 设置 。 

新 版 的 天 网 防火 墙 增加 对 应 用 程序 数据 包 进行 底层 分 析 拦 截 的 功能 ， 它 可 以 控制 应 用 
程序 发 送 和 接收 数据 包 的 类 型 、 通 信 端 口 ， 并 且 决 定 拦截 还 是 通过 ， 这 是 目前 其 他 很 多 软 
件 防火 墙 不 具有 的 功能 。 

(4) 详细 的 访问 记录 和 完善 的 报警 系统 。 

天 网 防火 墙 个 人 版 可 显示 所 有 被 拦截 的 访问 记录 ， 包 括 访问 的 时 间 、 来 源 、 类 型 、 代 
码 等 ， 用 户 可 以 清楚 地 看 到 是 否 有 入 侵 者 想 连接 到 自己 的 机 器 ， 从 而 制定 更 有 效 的 防护 规 
则 。 与 以 往 的 版 本 相 比 ， 天 网 防火 墙 个 人 版 设置 了 完善 的 声音 报警 系统 ， 当 出 现 异常 情况 
时 ， 系 统 会 发 出 预警 信号 ， 从 而 让 用 户 做 好 防御 措施 。 


本 宣 小 仿 


防火 墙 是 用 于 保护 计算 机 网 络 中 敏感 数据 不 被 窍 取 和 算 改 的 计算 机 软 硬 件 系统 。 
防火 墙 技术 分 为 包 过 滤 防 火 墙 技 术 和 代理 防火 墙 技术 。 
防火 墙 体系 应 该 是 多 种 解决 不 同 问题 的 技术 的 有 机 组 合 。 常 见 的 配置 有 屏蔽 路 由 器 、 (7_ 
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双 宿 主 主机 网 关 、 屏 蔽 主机 网 关 、 屏 项 子 网 等 
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防火 墙 在 选 购 时 应 注意 策略 ， 如 何 选 购 一 个 安全 、 稳 定 、 可 靠 的 防火 墙 产品 是 非常 重 


要 的 。 
防火 墙 是 目前 用 来 实现 网 络 安全 措施 的 一 种 主要 手段 。 
习 授 
一 、 填 空 题 
1. 常用 的 防火 墙 可 以 分 为 和 两 大 类 。 
2. 代理 防火 墙 作用 于  _ 层 。 
3. 双 宿主 主机 网 关中 的 双 宿 主 主机 是 一 台 安 装 有 的 计算 机 。 
4. 屏蔽 主机 网 关 由 和 组成。 
5. 屏蔽 子 网 系统 结构 是 在 基础 上 再 加 上 一 个 屏蔽 路 由 器 构成 。 
二 、 选 择 题 
1. 防火 墙 自身 有 一 些 限制 ， 它 不 能 阻止 威胁。 
I 外 部 攻击 I 内 部 II 病毒 感染 
i B. I 和 I C.II 和 I D. 全 部 
2. 关于 防火 墙 ， 以 下 说 法 错误 的 是 ___。 
A. 防火 墙 能 隐藏 内 部 人’ 地 址 
B. 防火 墙 能 控制 进出 内 网 的 信息 流向 和 信息 包 
C. 防火 墙 能 提供 VPN 功能 
D. 防火 墙 能 阻止 来 自 内 部 的 威胁 
3. 技术 不 是 实现 防火 墙 的 主流 技术 。 
A. 包 过 滤 技 术 B. 应 用 级 网 关 技 术 
C. 代理 服务 器 技术 D. NAT 技术 
4. 防火 墙 采用 的 最 简单 的 技术 是 。 
A. 安装 保护 卡 ” B. 隔离 C. 包 过 滤 D. 设置 进入 密码 
三 < 简 答 题 
1. 什么 是 防火 墙 ? 防火 墙 分 为 哪 几 类 ? 
2. 防火 墙 有 哪些 功能 特点 ? 
3. 试 述 包 过 滤 防 火 墙 技术 的 原理 及 特点 。 
4. 试 述 代 理 防 火 墙 技术 的 原理 及 特点 。 
5. 常见 的 防火 墙 体 系 结构 有 哪 几 种 ? 
7 6. 选 购 防 火 墙 时 应 注意 哪些 问题 ? 
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本 半 实 训 


实 训 1 应 用 天 网 防火 墙 防范 木马 
实 训 目 的 


(1) 了 解 防火 墙 的 基本 功能 。 


(2) 掌握 天 网 防火 墙 的 使 有 用， 熟悉 天 网 防火 墙 的 配置 规则 。 


实 训 环 境 

(1) 一 台 连 上 Internet 的 计算 机 。 

(2) 最 新 天 网 防火 墙 个 人 版 。 

操作 步骤 

第 1 步 : 如 果 在 天 网 防火 墙 运行 时 , 木马 服 
务 器 程序 要 打开 网 络 端口 ， 此 时 会 弹出 “天 网 防 
火 墙 警告 信息 ”提示 框 , 即 可 很 容易 检测 到 自己 
运行 的 程序 是 否 被 绑 定 了 木马 。 

第 2 步 : 如 果 要 想 防 止 某 程序 使 用 网 络 资 
源 ， 则 单 击 “ 天 网 防火 墙 警告 信息 ”提示 框 中 的 
“禁止 ”按钮 即 可 , 这 样 攻击 者 就 无 法 通过 木马 
服务 器 程序 来 对 被 攻击 者 的 机 器 进行 远程 控制 
了 。 而 对 于 那些 已 经 被 植 入 木马 到 计算 机 中 的 用 
户 ， 则 可 以 采用 如 下 的 防御 方法 。 

第 3 步 : 在 天 网 防火 墙 主 窗口 中 单 击 “ 增 加 
规则 ”按钮 ， 即 可 打开 “增加 卫 规则 ”对 话 框 ， 
在 “规则 ”选项 组 的 “名 称 ” 文 本 框 中 输入 “ 禁 
止 冰河 木马 的 侵入 ” 在 “说 明 ” 文 本 框 中 输入 
“记录 冰河 木马 入 侵 ， 方 法 是 记录 7626 端口 的 
访问 情况 , 在 发 现 有 冰河 木马 入 侵 的 时 候 ， 同 时 
发 声 ” 在 “数据 包 方 向 ”下 拉 列 表 框 中 选择 “ 接 
收 ” 选 项 ， 再 在 “对 方 IP 地 址 ”下 拉 列 表 框 中 
选择 “任何 地 址 ”选项 ， 如 图 5.6 所 示 。 

第 4 步 : 在 “数据 包 协 议 类 型 ” 下拉 列表 框 
中 选择 TCP 选项 之 后 ， 将 出 现 TCP 类 型 框 ， 在 
“本 地 端口 ”选项 组 中 设 定 端口 为 从 7626 到 
7626， 如 图 5.7 所 示 。 在 “数据 包 协 议 类 型 ”下 
拉 列 表 框 中 选择 UDP 项 后 ,将 出 现 UDP 类 型 框 ， 


图 5.6 设置 数据 包 方向 和 对 方 瑟 地 址 
数据 包 协 议 类 型 : JP 可 
本 地 滴 D 对 广 靖 口 TCF 标志 位 一 
厂 已 授权 程序 开放 的 庙 口 从 站 | 厂 Pm 厂 AcK 
人 FEB 到 FE | Fa 


nr TF we 
端口 为 0 时 ,不 作为 条 件 


图 5.7 TCP 类 型 
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在 “本 地 端口 ”选项 组 中 设 定 端口 为 从 7626 到 7626， 如 图 5.8 所 示 。 

这 两 处 (TCP/UDP) 的 设置 主要 是 为 了 监听 7626 端口 而 进行 的 ， 因 为 冰河 木马 服务 器 
程序 就 是 使 用 这 个 端口 与 客户 端 程序 进行 通信 的 。 

第 5 步 : 在 “ 当 满 足 上 面条 件 时 ”下 拉 列 表 框 中 选择 “通行 ”选项 后 ， 再 在 “同时 还 ” 
选项 组 中 选中 “记录 ”和 “发 声 ” 复 选 框 ， 如 图 5.9 所 示 。 此 时 ， 在 “ 自 定义 卫 规则 ” 列 
表 框 中 就 可 以 看 到 “禁止 冰河 木马 的 侵入 ”规则 了 ， 如 图 5.10 所 示 。 


人 FB 到 Fi 到 [一 
端口 0 时 ， 不 作为 条 件 


图 5.8 UDP 类 型 


图 5.9 设置 动作 图 5.10 ”出现 “记录 冰河 入 侵 ” 规 则 


经 过 上 述 设置 之 后 ， 只 要 有 其 他 计算 机 想 通 过 冰河 客户 端 程序 控制 本 地 计算 机 ， 本 
地 计算 机 将 在 “天 网 防火 墙 ” 图 标 上 出 现 “!” 并 不 断 闪 烁 ， 同 时 还 发 出 警报 声音 。 单 击 
“日 志 ” 按 钮 后 ， 天 网 防火 墙 可 显示 是 哪些 IP 通过 木马 访问 本 地 计算 机 的 提示 信息 。 


实 训 2 应 用 天 网 防火 墙 打开 21 和 80 端口 


实 训 目 的 
掌握 天 网 防火 墙 的 端口 设置 功能 的 使 用 。 
实 训 环境 
(1) 一 台 连 上 Intemet 的 计算 机 。 
(2) 最 新 天 网 防火 墙 个 人 版 。 
操作 步骤 
第 1 步 : 按 图 5.11 所 示 设 置 打 开 Web 服务 80 端口 的 他 规则 。 
第 2 步 : 单 击 “ 确 定 ” 按 钮 ， 并 使 其 生效 。 
7/ 
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第 3 步 : 按 图 5.12 所 示 设 置 打 开 FTP 服务 21 端口 的 卫 规则 。 
第 4 步 : 单 击 “确定 ”按钮 ， 并 使 其 生效 。 


下 TP 规则 修改 


珊 ” 卫 规则 修改 


一 规则 
名 称 [[ 网 申 服 务 ] 开 放 WEB 端口 [ 同 晤 服务 ] 开 放 FTF 户口 
说 明 隆 充 : 公 当 您 在 运行 WEB 服务 器 , 且 元 法 正常 提供 服 5 运行 ’ 
加 刚玉 公克 在 到 行 FIP 服务 名 时 ， 才 应 打开 珊 则 
| 数据 包 方向 。 [ 硬 豫 芭 或 用 诺 ”二 ] 数 反 包 方向 。 [ 了 机 涝 一 -<] 
对 方 I 地 址 对 方 下 地 址 一 一 
[EC [耿直 了 


I Tc |]m lz lz | 


了 IT |mr |zm |zom | 
本 地 端口 对 方 端口 一 TCP 标志 位 


[ 本 地 端口 对 方 端口 TCP 标志 位 
| 厂 已 授权 程序 开放 的 端口 从 万 Fry TMK 厂 已 授权 程序 开放 的 端口 (全 Fry FF ACK 
从 古 到 捷 到 局 a La 从 陋 到 克 到 刁 和 时 
端口 为 0 时 ， 不 作为 条 件 端口 为 0 时 ， 不 作为 条 件 
当 满 足 上 面条 件 时 当 满 足 上 面条 件 时 
可 有 四 同时 还 厂 号 好 本 通行 同时 还 厂 记 弄 
古 - 厂 这 
[a 厂 发 
Cw | ca ee | 


图 5.11 打开 Web 服务 80 端口 的 下 规则 图 5.12 打开 FTP 服务 21 端口 的 下 规则 


> 了解 入 侵 检测 的 概念 、 功 能 特点 和 安全 性 。 
> ”理解 入 侵 检 测 系统 的 分 类 。 
> ”理解 入 侵 检测 系统 的 基本 技术 。 


> 熟悉 常用 入 侵 检 测 系统 产品 。 
> 熟 练 使 用 常见 入 侵 检 测 系 统 。 
> 掌握 入 侵 检 测 系统 的 选 购 、 安 装 和 维护 方法 。 


随 着 网 络 安全 问题 的 日 益 严峻 ， 入 侵 检测 系统 凭借 其 自身 特点 有 效 地 弥补 了 传统 安全 
保护 措施 的 不 足 ， 已 成 为 计算 机 与 网 络 安全 的 重要 组 成 部 分 。 


6.1 入 侵 检 疯 简 介 


6.1.1 入 侵 检 测 


1， 入 侵 检测 的 概念 

入 侵 检测 (Intrusion Detection)， 顾 名 思 义 ， 是 对 入 侵 行 为 的 检测 ， 它 通过 对 计算 机 网 
络 或 计算 机 系统 中 若干 关键 点 收集 信息 并 对 其 进行 分 析 ， 从 中 发 现 网 络 或 系统 中 是 否 有 违 
反 安 全 策略 的 行为 和 被 攻击 的 迹象 。 进 行 入 侵 检 测 的 软件 与 硬件 的 组 合 便 是 入 侵 检 测 系 统 
(Intrusion Detection System，IDS)。 与 其 他 安全 产品 不 同 的 是 ， 入 侵 检测 系统 需要 更 多 的 
智能 ， 它 必须 可 以 将 得 到 的 数据 进行 分 析 ， 并 得 出 有 用 的 结果 。 一 个 合格 的 入 侵 检 测 系 统 
能 大 大 简化 管理 员 的 工作 ， 保 证 网 络 安全 的 运行 。 

假如 防火 墙 是 一 由 大 楼 的 门 锁 ， 则 IDS 就 是 这 峡 大 楼 里 的 监视 系统 。 一 旦 小 偷 疏 窗 进 
入 大 楼 ， 或 内 部 人 员 有 越界 行为 ， 只 有 实时 监视 系统 才能 发 现 情况 并 发 出 警告 。 入 侵 检 测 
系统 能 够 识别 出 任何 不 希望 有 的 活动 ， 这 种 活动 可 能 来 自 于 网 络 外 部 和 内 部 。 入 侵 检测 系 
统 的 应 用 ， 能 使 在 入 侵 攻击 对 系统 发 生 危 害 前 ， 检 测 到 入 侵 攻 击 ， 并 利用 报警 与 防护 系统 
驱逐 入 侵 攻击 ;在 入 侵 攻击 过 程 中 ， 能 减少 入 侵 攻击 所 造成 的 损失 ; 在 被 入 侵 攻 击 后 ， 收 
集 入 侵 攻击 的 相关 信息 作为 防范 系统 的 知识 ， 添 加 到 知识 库 内 ， 以 增强 系统 的 防范 能 力 。 

入 侵 检测 系统 处 于 防火 墙 之 后 对 网 络 活动 进行 实时 检测 。 许 多 情况 下 ， 由 于 可 以 记录 
和 禁止 网 络 活动 ， 所 以 入 侵 检 测 系统 是 防火 墙 的 延续 。 它 们 可 以 与 防火 墙 和 路 由 器 配合 工 
作 。 应 当 理 解 入 侵 检测 系统 是 独立 于 防火 墙 工作 的 。 

入 侵 检测 系统 IDS 与 系统 扫描 器 System Scanner 不 同 。 系 统 扫描 器 是 根据 攻击 特征 数 
据 库 来 扫描 系统 漏洞 的 ， 它 更 关注 配置 上 的 漏洞 而 不 是 当前 进出 你 主机 的 流量 。 在 遭受 攻 
击 的 主机 上 ， 即 使 正在 运行 扫描 程序 ， 也 无 法 识别 这 种 攻击 。 

IDS 扫描 当前 网 络 的 活动 、 监 视 和 记录 网 络 的 流量 ， 根 据 定义 好 的 规则 来 过 滤 从 主机 
网 卡 到 网 线 上 的 流量 ， 提 供 实时 报警 。 网 络 扫描 器 检测 主机 上 先前 设置 的 漏洞 ， 而 IDS 监 
视 和 记录 网 络 流量 。 如 果 在 同一 台 主机 上 运行 IDS 和 扫描 器 的 话 ， 配 置 合理 的 IDS 会 发 出 
许多 报警 。 

2. 入 侵 检 测 的 功能 

(1) 监视 、 分 析 用 户 和 系统 的 行为 。 

(2) 审计 系统 配置 和 漏洞 。 

(3) 识别 已 知 的 攻击 行为 。 

(4) 评估 系统 关键 资源 和 数据 文件 的 完整 性 。 

(5) 统计 分 析 异 常 行为 。 


‘1 


-高 等 职业 教育 “十 二 五 ”规划 教材 一 S - 


一 高 等 职业 教育 “十 二 五 ”规划 教材 


…… 第 6 章 入 侵 检测 技术 国 


(6) 安装 诱骗 服务 器 ， 记 录 非 法 入 侵 行为 。 

(7) 操作 系统 日 志 管 理 ， 并 识别 违反 安全 策略 的 用 户 活动 。 

3. 入 侵 检测 系统 的 需求 特性 

(1) 可 靠 性 : 检测 系统 必须 在 无 人 监控 的 情况 下 连续 运行 。 系 统 必须 是 可 靠 的 ， 这 样 
才 可 以 允许 它 运行 在 被 检测 的 系统 环境 中 。 

(2) 适应 性 : 检测 系统 必须 能 随时 追踪 系统 环境 的 改变 。 

(3) 有 效 性 : 能 检测 系统 的 报告 错误 或 漏 报 控制 在 一 定 的 范围 内 。 

(4) 安全 性 : 检测 系统 必须 难以 被 欺骗 ， 能 够 保护 自身 的 安全 。 

(5) 容错 性 ， 检测 系统 的 容错 要 求 即使 在 系统 崩溃 的 情况 下 ， 检 测 系统 仍 能 保留 下 来 。 


6.1.2 入 侵 检 测 的 发 展 


入 侵 检 测 系统 需要 实现 的 目标 是 发 现 网 络 上 所 有 的 异常 行为 与 错误 。 近 20 多 年 来 ， 入 
侵 检测 系统 都 是 围绕 着 这 个 观念 来 发 展 的 。 但 最 近 ， 对 入 侵 检 测 系统 的 观点 有 了 较 大 的 转 
变 ， 入 侵 检 测 系统 逐渐 普及 并 结合 到 其 他 的 信息 系统 安全 的 各 部 分 中 。 

入 侵 检测 系统 的 概念 诞生 于 1980 年 ，James Anderson 发 表 了 文章 Computer Security 
Threat Monitoring and Surveillance， 这 篇 文章 介绍 了 对 网 络 上 用 户 的 行为 及 信息 进行 审计 的 
一 种 方法 。 随 着 文章 的 发 表 ,“ 检 测 ” 这 个 概念 逐渐 被 用 户 所 接受 。Anderson 对 于 入 侵 检测 
的 理论 成 为 入 侵 检测 系统 设计 及 开发 的 基础 ， 他 的 工作 成 为 基于 主机 的 入 侵 检测 系统 和 其 
他 入 侵 检 测 系统 的 出 发 点 。 

在 1983 年 ，SRI 组 织 和 Dorothy 博士 开始 为 一 个 政府 项 目 而 工作 ， 将 一 些 新 的 技术 应 
用 到 入 侵 检测 系统 的 开发 当中 。 他 们 的 目标 是 利用 政府 的 大 型 计算 机 对 用 户 的 行为 踪迹 进 
行 分 析 ， 然 后 在 分 析 结 果 的 基础 上 建立 用 户 行为 的 轮廓 模型 。 一 年 之 后 ，Dorothy 博士 帮助 
建立 起 了 第 一 个 入 侵 检 测 的 模型 : 入 侵 检 测 专家 系统 (Intrusion Detection Expert System， 
IDES)。 这 项 工作 为 入 侵 检测 技术 的 发 展 提供 了 良好 的 基础 并 带动 了 入 侵 检 测 的 发 展 。 

1984 年 ，SRI 开发 了 一 种 方法 来 跟踪 和 分 析 包 含 ARPANET 用 户 身份 验证 信息 的 审计 
数据 。 很 快 ，SRI 在 与 海军 的 一 份 合同 中 首次 实现 了 入 侵 检 测 系统 。 入 侵 检 测 系 统 使 用 的 
是 Dorothy 博士 在 SRI 工作 期 间 的 研究 成 果 。Dorothy 博士 发 表 的 这 个 有 决定 性 的 成 果 一 一 
入 侵 检测 系统 模型 ， 为 开发 商业 化 入 侵 检测 系统 提供 了 必 不 可 少 的 信息 ， 他 的 文章 成 为 入 
侵 检测 系统 发 展 的 基础 。 

1988 年 ， 在 美国 空军 一 个 名 为 “干草 堆 ” 的 项 目 中 ， 另 一 种 版 本 的 入 侵 检测 系统 也 被 
实现 了 。 这 个 项 目的 产品 是 一 个 通过 分 析 审 计数 据 并 比较 其 中 是 否 存在 已 定义 的 内 容 来 工 
作 的 入 侵 检测 系统 。 一 位 前 “和 干草 堆 ”项 目的 成 员 说 :“ 在 一 大 堆 数据 中 查找 是 否 有 特点 细 
节 的 行为 就 如 同 在 干草 堆 中 寻找 一 根 针 。” 

在 这 之 后 ,通过 在 网 络 中 同时 布置 多 个 入 侵 检测 系统 协同 工作 的 方式 也 诞生 了 ,这 种 方式 
被 称 为 分 布 式 入 侵 检 测 系统 Distributed Intrusion Detection System，DIDS)。 分 布 式 入 侵 检 测 
系统 是 原 有 入 侵 检测 系统 的 扩展 , 这 样 通过 跟踪 客户 机 的 方式 比 原来 监视 服务 器 的 方式 要 好 得 


~、\ 多 。 最 后 ， 在 1989 年 ,“ 干 草 堆 ” 项 目 发 展 形成 了 一 个 商业 公司 ,“ 干 草 堆 ” 实 验 室 同 时 发 布 


使 用 新 一 代 技 术 的 产品 Stalker，Stalker 是 一 个 基于 网 络 的 入 侵 检测 系统 。 

进入 20 世纪 90 年 代 后 ， 网 络 入 侵 检 测 系统 的 概念 被 提出 。1990 年 ，Heberlein 作为 最 
主要 的 开发 者 开发 出 了 网 络 安全 监视 器 (Network Security Monitor，NSM)， 这 就 是 第 一 个 
网 络 入 侵 检 测 系统 .这 种 新 的 方式 引起 了 入 侵 检 测 行业 以 及 风险 投资 的 极 大 兴趣 。Heberlein 
的 贡献 甚至 影响 到 了 分 布 式 入 侵 检测 系统 项 目 发 展 的 方向 ， 加 入 “干草 堆 ” 开 发 小 组 ， 他 
提出 了 第 一 个 混合 入 侵 检测 系统 的 想法 ， 他 介绍 的 网 络 入 侵 检测 系统 引起 了 入 侵 检 测 行 业 
的 一 次 革命 ， 并 将 “干草 堆 ” 项 目 带 往 了 商业 道路 上 。 

入 侵 检测 技术 的 商业 化 最 早 是 在 1990 年 初 ,“ 干 草 堆 ” 实 验 室 第 一 个 推出 了 商业 化 的 
入 侵 检测 工具 一 一 Stalker。Stalker 是 一 个 标准 的 基于 主机 的 入 侵 检 测 系统 ， 而 正在 开发 的 
SAIC 则 是 另 一 种 形式 的 入 侵 检测 系统 ， 称 为 计算 机 错误 检测 系统 (Computer Misuse 
Detection System，CMDS)。 同 时 ， 美 国 空军 的 密码 技术 中 心 也 开发 出 一 种 审计 安全 衡量 系 
统 (Audit Security Measurement System，ASMS )， 用 于 监视 美国 空军 网 络 传输 数据 。 与 其 
他 的 网 络 入 侵 检测 系统 相 比 ， 审 计 安 全 衡量 系统 的 优势 在 于 可 测量 性 和 便于 携带 。 审 计 安 
全 衡量 系统 也 是 第 一 个 将 硬件 与 软件 结合 的 网 络 入 侵 检测 解决 方案 ， 并 被 美国 空军 计算 机 
安全 紧急 响应 中 心 广泛 应 用 在 全 世界 各 地 。 ASMS 项 目的 开发 小 组 在 1994 年 也 发 展 成 了 一 
家 商业 公司 一 一 the Wheel Group， 他 们 的 产品 NetRanger， 是 第 一 个 可 用 于 商业 化 的 网 络 入 
侵 检 测 系统 。 

入 侵 检测 市 场 逐渐 扩大 并 开始 带 来 收入 是 在 1997 年 左右 ， 在 这 一 年 ，Cisco 公司 认识 
到 网 络 入 侵 检 测 的 重要 性 并 收购 了 the Wheel Group， 并 开始 向 客户 提供 安全 解决 方案 。 同 
样 ， 网 络 安全 行业 的 领导 者 ，ISS 公司 也 开发 出 了 自己 的 网 络 入 侵 检测 系统 RealSecure。 一 
年 后 ， 第 一 个 可 视 化 基于 主机 入 侵 检测 系统 的 公司 (Centrax 的 公司 ) 与 “干草 堆 ” 实 验 
合并 。 从 此 ， 入 侵 检 测 的 世界 逐渐 被 市 场所 主导 。 

由 于 入 侵 检测 系统 的 市 场 在 近 几 年 中 飞速 发 展 ， 许 多 公司 都 投入 到 这 一 领域 中 来 。 除 
了 国外 的 ISS、Axent、NFR、Cisco 等 公司 外 ， 国 内 也 有 数 家 公司 (如 中 联 绿 盟 、 中 科 网 威 
等 ) 推出 了 自己 相应 的 产品 。 但 就 目前 而 言 ， 入 侵 检 测 系 统 还 缺乏 相应 的 标准 。 有 两 个 组 
织 试 图 对 IDS 进行 标准 化 工作 ， 即 IETF 的 IDWG (Intrusion Detection Working Group) 和 
CIDF (Common Intrusion Detection Framework)， 但 其 工作 进展 非常 缓慢 ， 目 前 尚 没 有 被 广 
泛 接受 的 标准 出 台 。 


6.2 入侵 检测 系统 


6.2.1 入侵 检测 系统 的 组 成 


从 功能 上 讲 ， 入 侵 检测 系统 由 探测 器 (Sensor)、 分 析 器 (Analyzer) 和 用 户 接 口 (User 
Interface) 组 成 。 下 面 分 别 对 这 3 个 部 分 进行 简要 介绍 。 


1. 探测 器 


探测 器 主要 负责 收集 数据 ,探测 器 的 输入 数据 包括 任何 可 能 包含 入 侵 行为 线索 的 数据 ，、 1 
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比如 说 网 络 数 据 包 、 日 志文 件 和 系统 调用 记录 等 。 探 测 器 将 这 些 数 据 收集 起 来 ， 然 后 发 送 
到 分 析 器 进行 处 理 。 

2. 分 析 器 

分 析 器 又 可 称 为 检测 引擎 (Detection Engine), 它 负 责 从 一 个 或 多 个 探测 器 处 接收 信息 ， 
并 通过 分 析 来 确定 是 否 发 生 了 非法 入 侵 活动 。 分 析 器 组 件 的 输出 是 标识 入 侵 行为 是 否 发 生 
的 指示 信号 ， 例 如 一 个 警告 信号 ， 该 指示 信号 中 还 可 能 包括 相关 的 证 据 信 息 。 另 外 ， 分 析 
器 组 件 还 能 够 提供 关于 可 能 的 反应 措施 的 相关 信息 。 

3. 用 户 接口 

IDS 的 用 户 接口 使 得 用 户 易于 观察 系统 的 输出 信息 ， 并 对 系统 行为 进行 控制 。 在 某 些 
系统 中 ， 用 户 接口 又 称 为 “管理 器 和 “控制 器 ”或 者 “控制 台 ” 等 。 

除了 以 上 3 个 必要 组 件 外 ， 某 些 IDS 可 能 还 包括 一 个 所 谓 的 “ 蜜 缸 ”(Honeypot) 诱饵 
机 。 该 诱饵 机 被 设计 和 配置 成 具有 明显 的 系统 安全 漏洞 ， 并 对 攻击 者 明显 可 见 。 诱 饵 机 能 
够 作为 IDS 中 一 个 专门 提供 给 攻击 者 进行 入 侵 的 探测 器 来 使 用 ， 从 而 提供 关于 某 次 攻击 行 
为 的 发 生 过 程 和 相关 信息 。 


6.2.2 ”入侵 检测 系统 的 类 型 


从 技术 上 看 ， 入 侵 检测 系统 可 以 分 为 基于 主机 的 入 侵 检测 、 基 于 网 络 的 入 侵 检测 、 混 
合 入 侵 检测 和 网 络 节点 的 入 侵 检 测 等 。 
1. 基于 主机 的 入 侵 检测 


基于 主机 的 入 侵 检测 (Host-based Intrusion 
Detection，HID ) 是 被 设计 用 于 监视 、 检 测 对 
于 主机 的 攻击 行为 ， 通 知 用 户 并 进行 响应 。 有 
些 功 能 强大 的 工具 甚至 能 提供 审计 策略 管理 
与 集中 控制 , 提供 数据 对 比 、 统 计 与 分 析 支 持 。 
基于 主机 的 入 侵 检测 设备 通常 是 安装 在 
被 重点 检测 的 主机 之 上 ， 其 目标 主要 是 主机 
系统 和 本 地 用 户 , 主要 是 对 该 主机 的 网 络 实时 
连接 以 及 对 系统 审计 日 志 进 行 智 能 分 析 和 判 
断 。 如 果 其 中 主体 活动 十 分 可 疑 〈 特 征 或 违反 
统计 规律 )， 入 侵 检 测 系统 就 会 采取 相应 的 措 
施 。 基 于 主机 的 入 侵 检测 系统 的 结构 如 图 6.1 
所 示 。 
基于 主机 的 入 侵 检 测 系统 的 优点 如 下 。 图 6.1 基于 主机 的 入 侵 检测 系统 
(1) 基于 主机 的 入 侵 检测 系统 对 分 析 可 
能 的 攻击 行为 非常 有 用 。 举 例 来 说 ， 有 时 候 它 除 了 指出 入 侵 者 试图 执行 的 一 些 “ 和 危险 的 命 
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令 ” 外 ， 还 能 分 辨 入 侵 者 干 了 什么 事 ， 他 们 运行 了 什么 程序 、 打 开 了 哪些 文件 、 执 行 了 哪 
些 系统 调用 。 主机 入 侵 检测 系统 与 网 络 入 侵 检测 系统 相 比 通常 能 够 提供 更 详尽 的 相关 信息 。 

(2) 主机 入 侵 检 测 系 统 通 常情 况 下 比 网 络 入 侵 检 测 系 统 误 报 率 要 低 ， 因 为 检测 在 主机 
上 运行 的 命令 序列 比 检测 网 络 流 更 简单 ， 系 统 的 复杂 性 也 少 得 多 。 

(3) 主机 入 侵 检测 系统 可 安装 在 那些 不 需要 广泛 的 入 侵 检测 、 传 感 器 与 控制 台 之 间 的 
通信 带宽 不 足 的 情况 下 。 主 机 入 侵 检测 系统 在 不 使 用 诸如 “停止 服务 `“ 注 销 用 户 ” 等 响 
应 方法 时 风险 较 少 。 

基于 主机 的 入 侵 检测 系统 的 缺点 如 下 。 

(1) 主机 入 侵 检测 系统 安装 在 需要 保护 的 设备 上 。 例 如 ， 当 一 个 数据 库 服务 需要 保护 
时 ， 就 要 在 服务 器 本 身上 安装 入 侵 检测 系统 。 这 会 降低 应 用 系统 的 效率 。 

(2) 主机 入 侵 检测 系统 依赖 于 服务 器 固有 的 日 志 与 监视 能 力 。 如 果 服 务 器 没有 配置 日 
志 功 能 ， 则 必须 重新 配置 ， 这 将 会 给 运行 中 的 业务 系统 带 来 不 可 预见 的 性 能 影响 。 

(3) 全 面 安装 主 机 入 侵 检测 系统 代价 较 大 ,企业 中 很 难 将 所 有 主机 用 主机 入 侵 检 测 系 
统 保护 ， 只 能 选择 分 主机 保护 。 那 些 未 安装 主机 入 侵 检测 系统 的 机 器 将 成 为 保护 的 盲点 ， 
入 侵 者 可 利用 这 些 机 器 攻击 目标 。 

(4) 主机 入 侵 检测 系统 除了 监测 自身 的 主机 以 外 ， 根 本 不 监测 网 络 上 的 情况 。 对 入 侵 
行为 分 析 的 工作 量 将 随 着 主机 数目 增加 而 增加 。 

2. 基于 网 络 的 入 侵 检 测 


基于 网 络 的 入 侵 检 测 (Network Intrusion Detection，NID) 是 通过 分 析 主 机 之 间 网 络 上 
传输 的 信息 来 工作 的 。 网 络 入 侵 检测 设备 能 截取 利用 不 同 传输 介质 以 及 不 同 协议 进行 传输 
的 数据 包 《〈 大 部 分 入 侵 检测 系统 主要 是 针对 TCP/IP 协议 )。 

基于 网 络 的 入 侵 检 测 设备 (NIDS) 放置 在 比较 重要 的 网 段 内 ， 不 停 地 监视 网 段 中 的 各 
种 数据 包 ， 对 每 一 个 数据 包 或 可 疑 的 数据 包 进 行 特征 分 析 。 如 果 数 据 包 与 产品 内 置 的 某 些 
规则 吻合 ， 入 侵 检 测 系 统 就 会 发 出 警报 甚至 直接 切断 网 络 连接 。 目 前 ， 大 部 分 入 侵 检测 产 
品 是 基于 网 络 的 。 基 于 网 络 的 入 侵 检测 系统 是 根据 网 络 流量 、 网 络 数据 包 和 协议 来 分 析 检 
测 入 侵 行为 的 ， 基 本 过 程 如 图 6.2 所 示 。 


二 
审计 记录 数据 库 


图 6.2 基于 网 络 的 入 侵 检测 系统 
所 1 
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基于 网 络 的 入 侵 检 测 系 统 的 优点 如 下 。 

(1) 网 络 入 侵 检测 系统 能 够 检测 那些 来 自 网 络 的 攻击 ， 它 能 够 检测 到 超过 授权 的 非法 
访问 。 

(2) 一 个 网 络 入 侵 检测 系统 不 需要 改变 服务 器 等 主机 的 配置 。 由 于 它 不 会 在 业务 系统 
的 主机 中 安装 额外 的 软件 ， 从 而 不 会 影响 这 些 机 器 的 CPU、1O 与 磁盘 等 资源 的 使 用 ， 不 
会 影响 业务 系统 的 性 能 。 

(3) 由 于 网 络 入 侵 检 测 系统 不 像 路 由 器 、 防 火 墙 等 关键 设备 那样 工作 ， 所 以 它 不 会 成 
为 系统 中 的 关键 路 径 。 网 络 入 侵 检测 系统 发 生 故障 不 会 影响 正常 业务 的 运行 。 安 装 网 络 入 
侵 检测 系统 的 风险 比 安装 主机 入 侵 检测 系统 的 风险 小 得 多 。 

(4) 网 络 入 侵 检测 系统 近 几 年 有 向 专门 的 设备 发 展 的 趋势 ， 安 装 这 样 的 一 个 网 络 入 
侵 检测 系统 非常 方便 ， 只 需 将 定制 的 设备 接 上 电源 ， 做 很 少 的 配置 ， 将 其 连 到 网 络 上 
即 可 。 

基于 网 络 的 入 侵 检测 系统 的 缺点 如 下 。 

(1) 网 络 入 侵 检测 系统 只 检测 它 直接 连接 网 段 的 通信 ， 不 能 检测 在 不 同 网 段 的 网 络 包 。 
在 使 用 交换 以 太 网 的 环境 中 会 出 现 检测 范围 的 局 限 。 而 安装 多 台 网 络 入 侵 检测 系统 的 传 感 
器 会 使 整个 系统 的 成 本 大 大 增加 。 

(2) 网 络 入 侵 检测 系统 为 了 性 能 目标 通常 采用 特征 检测 的 方法 ， 它 可 以 检测 出 普通 的 
一 些 攻击 ， 而 很 难 实现 一 些 复杂 的 、 需 要 大 量 计算 与 分 析 时 间 的 攻击 检测 。 

(3) 网 络 入 侵 检测 系统 可 能 会 将 大 量 的 数据 传 回 分 析 系 统 中 。 在 一 些 系 统 中 监听 特定 
的 数据 包 会 产生 大 量 的 分 析 数 据 流 量 。 一 些 系统 在 实现 时 采用 一 定 方 法 来 减少 回 传 的 数据 
量 ， 对 入 侵 判 断 的 决策 由 传感器 实现 ， 而 中 央 控 制 台 成 为 状态 显示 与 通信 中 心 ， 不 再 作为 
入 侵 行为 分 析 器 。 这 样 的 系统 中 的 传感器 协同 工作 能 力 较 弱 。 

(4) 网 络 入 侵 检测 系统 处 理 加 密 的 会 话 过 程 较 困 难 , 目前 通过 加 密 通道 的 攻击 尚 不 多 ， 
但 随 着 IPv6 的 普及 ， 这 个 问题 会 越 来 越 突 出 。 

随 着 网 络 系统 结构 复杂 化 和 大 型 化 ， 出 现 了 许多 基于 分 布 式 的 入 侵 检测 。 例 如 ; 

(1) 系统 的 弱点 或 漏洞 分 散在 网 络 中 的 各 个 主机 上 , 这 些 弱 点 可 能 被 入 侵 者 一 起 用 来 
攻击 网 络 ， 而 依靠 唯一 的 主机 或 网 络 IDS 不 能 发 现 入 侵 行为 。 

(2) 入 侵 行为 不 再 是 单一 的 行为 ， 而 是 表现 出 相互 协作 的 入 侵 特点 ， 如 分 布 式 拒绝 服 
务 攻击 (DDoS )。 

(3) 入 侵 检测 所 依靠 的 数据 来 源 分 散 化 ,收集 原 始 的 检测 数据 变 得 困难 ， 如 交换 型 网 
络 使 得 监听 网 络 数据 包 受 到 限制 。 

(4) 网 络 速度 传输 加 快 , 网 络 的 流量 大 , 集中 处 理 原 始 数据 的 方式 往往 造成 检测 瓶颈 ， 
从 而 导致 漏 检 。 

于 这 样 的 情况 ， 分 布 式 入 侵 检测 系统 就 应 运 而 生 。 
分 布 式 IDS 通常 由 数据 采集 构件 、 通 信 传 输 构件 、 入 侵 检测 分 析 构 件 、 应 急 处 理 构 件 


yh 和 管理 构件 组 成 ， 如 图 6.3 所 示 ， 这 些 构件 可 根据 不 同情 形 进行 组 合 。 
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图 6.3 分 布 式 入 侵 检测 系统 

3.， 混合 入 侵 检测 

混合 入 侵 检测 系统 是 基于 网 络 和 基于 主机 的 入 侵 检测 系统 的 结合 ， 这 种 混合 的 解决 方 
案 为 NID 和 HID 提供 了 互补 , 并 提供 了 入 侵 检 测 的 集中 管理 。 采用 这 种 技术 能 实现 对 入 侵 
行为 的 全 方位 检测 ， 避 免 入 侵 行 为 被 忽略 掉 。 

4. 网 络 节点 的 入 侵 检测 

网 络 节点 入 侵 检测 (Network-Node Intrusion Detection，NNID) 是 为 加 固 传 统 的 网 络 入 
侵 检 测 周围 环境 而 开发 的 ， 它 使 用 sniffer 技术 截取 从 网 线 上 传输 给 主机 的 数据 包 。 与 网 络 
入 侵 检测 不 同 的 是 ， 网 络 节点 入 侵 检测 是 在 数据 包 到 达 主 机 后 进行 截取 。 网 络 节点 入 侵 检 
测 的 设想 来 源 于 多 个 HID 中 心理 论 ， 即 每 一 个 中 心 主机 都 必须 利用 基于 主机 的 技术 优势 。 
通常 网 络 节点 入 侵 检测 只 是 简单 地 附 在 主机 入 侵 检 测 上 的 一 个 模块 上 。 

由 于 嗅 探 技 术 的 限制 ， 网 络 节点 入 侵 检测 仅仅 能 分 析 目 的 地 址 是 主机 地 址 的 包 ， 但 是 
由 于 网 络 节点 入 侵 检 测 的 特性 ， 当 网 络 使 用 的 是 一 个 高 速 通信 网 络 、 加 密 网 络 或 者 使 用 了 
交换 式 设备 时 ， 网 络 节点 入 侵 检 测 仍然 能 对 所 有 的 子 网 进行 检测 。 网 络 节点 入 侵 检 测 的 优 
势 在 于 ， 能 有 效 的 抵御 针对 特定 主机 的 基于 包 的 攻击 。 


6.3 第 用 的 入 侵 检 测 方 法 


对 于 收集 到 的 有 关系 统 、 网 络 、 数 据 及 用 户 活 动 的 状态 和 行为 等 信息 ， 一 般 通 过 3 种 
技术 手段 进行 分 析 : 模式 匹配 、 统 计 分 析 和 完整 性 分 析 。 前 两 种 方法 用 于 实时 的 入 侵 检测 ， 
而 完整 性 分 析 则 用 于 事后 分 析 。 

1. 模式 匹配 

模式 匹配 就 是 将 收集 到 的 信息 与 已 知 的 网 络 入 侵 和 系统 误 用 模式 数据 库 进 行 比 较 ， 从 
而 发 现 违背 安全 策略 的 行为 。 该 过 程 可 以 很 简单 〈 如 通过 字符 串 匹配 以 寻找 一 个 简单 的 条 
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目 或 指令 )， 也 可 以 很 复杂 (如 利用 正规 的 数学 表达 式 来 表示 安全 状态 的 变化 )。 一般 来 讲 ， 
一 种 进攻 模式 可 以 用 一 个 过 程 ( 如 执行 一 条 指令 ) 或 一 个 输出 (如 获得 一 个 权限 ) 来 表示 。 
该 方法 的 一 大 优点 是 只 需 收集 相关 的 数据 集合 ， 显 著 减 少 系统 负 担 ， 且 技术 已 相当 成 熟 。 
它 与 病毒 防火 墙 采用 的 方法 一 样 ， 检 测 准确 率 和 效率 都 相当 高 。 但 是 ， 该 方法 存在 的 弱点 
是 需要 不 断 的 升级 以 对 付 不 断 出 现 的 黑客 攻击 手法 ， 不 能 检测 到 从 未 出 现 过 的 黑客 攻击 
手段 。 

2. 统计 分 析 

统计 分 析 方 法 首先 给 系统 对 象 〈 如 用 户 、 文 件 、 目 录 和 设备 等 ) 创建 一 个 统计 描述 ， 
统计 正常 使 用 的 一 些 测 量 属性 (如 访问 次 数 、 操 作 失 败 次 数 和 延 时 等 )。 测量 属性 的 平均 值 
将 被 用 来 与 网 络 、 系 统 的 行为 进行 比较 ， 任 何 观 察 值 在 正常 范围 之 外 时 ， 就 认为 有 入 侵 
发 生 。 例 如 ， 统 计 分 析 可 能 标识 一 个 不 正常 行为 ， 因 为 它 发 现 一 个 在 晚 八 点 至 早 六 点 不 
登录 的 账户 却 在 凌晨 两 点 试图 登录 。 其 优点 是 可 检测 到 未 知 的 入 侵 和 更 为 复杂 的 入 侵 ， 
缺点 是 误 报 、 漏 报 率 高 ， 且 不 适应 用 户 正常 行为 的 突然 改变 。 有 具体 的 统计 分 析 方 法 如 基 
于 专家 系统 的 、 基 于 模型 推理 和 基于 神经 网 络 的 分 析 方法 ， 目 前 正 处 于 研究 热点 和 迅速 
发 展 之 中 。 

3， 完 整 性 分 析 

完整 性 分 析 主要 关注 某 个 文件 或 对 象 是 否 被 更 改 ， 这 经 常 包括 文件 和 目录 的 内 容 及 属 
性 ， 它 在 发 现 被 更 改 的、 被 木马 化 的 应 用 程序 方面 特别 有 效 。 完 整 性 分 析 利用 强 有 力 的 加 
密 机 制 ， 称 为 消息 摘要 函数 〈 如 MD5)， 它 能 识别 哪怕 是 很 微小 的 变化 。 其 优点 是 不 管 模 
式 匹配 方法 和 统计 分 析 方 法 能 否 发 现 入 侵 ， 只 要 是 成 功 的 攻击 导致 了 文件 或 其 他 对 象 的 任 
何 改变 ， 它 都 能 够 发 现 。 缺 点 是 一 般 以 批 处 理 方式 实现 ， 不 用 于 实时 响应 。 尽 管 如 此 ， 完 
整 性 检测 方法 还 应 该 是 网 络 安全 产品 的 必要 手段 之 一 。 例 如 ， 可 以 在 每 一 天 的 某 个 特定 时 
间 开 启 完整 性 分 析 模块 ， 对 网 络 系统 进行 全 面 地 扫描 检查 。 


6.4 入 侵 失 关系 统 的 本 庆 发 展 


6.4.1 ”入侵 检测 系统 的 局 限 性 


入 侵 检 测 系统 也 面临 着 若干 重要 的 挑战 。 这 些 挑 战 有 些 来 自 技术 方面 ， 有 些 则 来 自 非 
技术 方面 。 

1. 技术 方面 的 主要 挑战 

(1) 网 络 规模 和 复杂 程序 的 不 断 增长 。 在 一 个 大 型 的 异 构 网 络 环境 中 ， 入 侵 检测 系统 
所 遇 到 的 主要 问题 包括 如 何 集成 并 处 理 来 自分 布 在 网 络 各 处 实体 的 具有 不 同 格式 的 各 种 相 


关 信 息 、 如 何在 相互 合作 但 是 并 不 完全 相互 信任 的 组 织 之 间 来 共享 敏感 的 相关 入 侵 行为 信 
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息 、 如 何 进行 管理 域 间 的 合作 进程 以 及 如 何 保证 在 局 部 入 侵 检测 系统 失效 的 情况 下 仍 能 维 
护 系 统 全 局 的 安全 等 。 

(2) 预警 技术 。 是 指 如 何在 造成 损失 前 及 早 发 现 入 侵 活 动 。 

(3) 网 络 繁忙 情况 下 的 系统 性 能 问题 。 为 了 保证 发 挥 效能 ， 网 络 入 侵 检测 系统 必须 能 
够 分 析 所 有 的 内 向 数据 包 。 如 果 一 个 入 侵 检 测 系统 无 法 应 付 网 络 吞 吐 量 的 话 ， 它 就 可 能 漏 
掉 不 少 反映 入 侵 活 动 的 特征 数据 ， 从 而 造成 安全 漏洞 。 

(4) 入 侵 模式 特征 的 准确 性 。 用 来 描述 异常 入 侵 行为 的 模式 特征 是 滥用 检测 系统 最 重 
要 的 基石 。 如 何 保 证 所 采用 的 特征 集 能 够 准确 而 又 足以 描述 已 知 的 各 种 攻击 模式 〈 包 括 复 
杂 的 分 阶段 攻击 行为 ) 及 其 变种 ， 是 一 个 重要 而 敏感 的 问题 。 

(5) 入 侵 检测 系统 的 评估 。 对 入 侵 检测 系统 评估 测试 是 一 项 复杂 的 工作 ， 因 为 IDS 
不 能 在 独立 环境 中 检测 ， 首 先 必须 建立 一 个 实际 网 络 平台 环境 。 同 时 ， 还 需要 大 量 的 包含 
各 种 测试 入 侵 的 复杂 数据 ， 这 些 数据 还 要 根据 不 同 的 操作 系统 平台 和 版 本 加 以 调整 。 时 至 
今日 ， 在 这 方面 所 做 的 工作 非常 少 。 

2， 非 技术 因素 


(1) 攻击 者 不 断 研究 新 的 攻击 模式 ， 同 时 ， 随 着 安全 技术 的 普及 ， 越 来 越 多 的 人 进行 
了 越 来 越 多 的 入 侵 攻 击 尝试 。 自 动 攻击 的 软件 工具 不 断 得 到 改进 ， 使 普通 用 户 也 能 够 利用 
它 来 进行 网 络 攻击 。 各 种 机 构 〈 包 括 政府 、 公 司 等 ) 对 包括 IDS 在 内 的 安全 技术 的 认识 不 
足 或 者 缺乏 足够 经 验 的 安全 管理 员 。 

(2) 我 国 计 算 机 系统 及 网 络 产 品 以 国外 的 为 主 , 软 硬 件 系统 中 难免 也 存在 各 种 潜在 威 
胁 和 安全 “陷阱 ”( 如 操作 系统 后 门 、 路 由 器 漏洞 等 )。 因 此 ， 利 用 这 些 设 备 建立 的 网 络 系 
统 ， 在 其 安全 性 方面 得 不 到 根本 性 的 保障 。 


6.4.2 ”入侵 检 测 的 未 来 发 展 


入 侵 检测 系统 与 其 他 的 网 络 产 品 一 样 ， 在 过 去 几 年 获得 了 非常 大 的 发 展 ， 其 已 经 成 为 
维护 网 络 安全 的 重要 产品 ， 就 如 同 防火 墙 一 样 。 不 过 ， 未 来 是 很 难 预 料 的 ， 网 络 的 情况 会 
改变 ， 入 侵 者 也 在 不 断 地 学 习 。 入 侵 检 测 系 统 必须 要 面 对 这 些 问题 ， 并 不 断 地 演化 以 适应 
环境 的 变化 。 无 论 如 何 ， 管 理 员 都 必须 确信 入 侵 检测 系统 是 帮助 他 们 维护 网 络 安全 最 有 力 
的 武器 之 一 。 下 面 几 方 面 是 未 来 对 入 侵 检测 发 展 可 能 带 来 影响 的 因素 。 

1. 安全 事件 逐年 上 升 

对 管理 员 而 言 ， 将 网 络 接 入 到 互联 网 中 ， 就 意味 着 将 网 络 暴露 在 全 球 的 入 侵 者 面前 ， 
大 量 的 攻击 行为 将 使 入 侵 检 测 系 统 面 临 更 大 的 压力 。 

2.， 安全 问题 日 渐 增 多 

互联 网 不 断 发 展 使 得 网 络 日 趋 复杂 ， 软 件 的 功能 不 断 增 加 ， 然 而 安全 漏洞 被 发 现 的 数 
量 也 不 断 扩 大 。 除 了 操作 系统 外 ， 各 种 服务 软件 的 漏洞 都 有 可 能 给 系统 带 来 安全 方面 的 威 
胁 。 入 侵 检测 系统 必须 具备 足够 的 能 力 跟 踪 最 新 的 漏洞 出 现 。 
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3. 良好 的 适应 性 

网 络 入 侵 检测 系统 通过 匹配 网 络 数据 包 发 现 攻击 行为 ， 入 侵 检测 系统 往往 假设 攻击 信 
息 是 通过 明文 传输 的 ， 因 此 对 信息 稍 加 改变 便 可 能 骗 过 入 侵 检测 系统 的 检测 。 一 些 攻击 者 
已 经 开始 利用 这 一 点 通过 加 密 的 方法 传输 控制 信息 。 还 有 许多 系统 通过 VPN (虚拟 专用 网 ) 
进行 网 络 之 间 的 互联 ， 如 果 入 侵 检 测 系统 不 了 解 其 所 用 的 隧道 机 制 ， 就 会 无 法 发 现 可 能 存 
在 的 入 侵 行为 。 

4. 必须 协调 、 送 应 多 样 性 的 环境 中 的 不 同 的 安全 策略 

网 络 及 其 中 的 设备 越 来 越 多 样 化 ， 既 存在 关键 资源 如 邮件 服务 器 、 企 业 数据 库 ， 也 存 
在 很 多 相对 不 是 很 重要 的 PC 机 ， 不 同 企业 之 间 这 种 情况 也 往往 不 尽 相 同 ， 入 侵 检测 系统 
要 能 适应 多 样 的 环境 要 求 。 


6.5 入 侵 失 衣 系统 的 选 购 策略 


目前 基于 网 络 的 入 侵 检测 产品 有 很 多 ， 如 果 不 考 虑 费用 问题 ， 可 以 使 用 优秀 的 商业 产 
品 ， 使 用 这 些 产品 会 得 到 来 自 开发 商 的 技术 支持 和 产品 更 新 。 当 然 还 有 很 多 的 非 商业 化 的 
产品 ， 如 Snort 这 一 类 的 自由 软件 。 选 购 产品 最 重要 的 就 是 量力 而 行 ， 不 要 因为 产品 的 名 
气 而 购买 ， 记 住 你 需要 的 是 适合 自己 网 络 使 用 的 入 侵 检测 产品 。 
当选 择 入 侵 检测 系统 时 ， 要 从 如 下 方面 进行 考虑 。 

(1) 系统 的 价格 。 价 格 是 必须 考虑 的 要 点 ， 不过， 性 能 价格 比 以 及 要 保护 系统 的 价值 
则 是 更 重要 的 因素 。 

(2) 特征 库 升 级 与 维护 的 费用 。 像 反 病毒 软件 一 样 ， 入 侵 检测 的 特征 库 需要 不 断 更 新 
才能 检测 出 新 出 现 的 攻击 方法 。 

(3) 对 于 网 络 入 侵 检测 系统 ， 最 大 可 处 理 流 量 是 多 少 包 / 秒 (pps)。 首 先 ， 要 分 析 网 络 
入 侵 检测 系统 所 安装 的 网 络 环境 ， 如 果 在 512Kbps 或 24Mbps 专线 上 安装 网 络 入 侵 检测 系 
统 ， 则 不 需要 高 速 的 入 侵 检 测 引擎 ， 而 在 负荷 较 高 的 环境 中 ， 性 能 是 一 个 非常 重要 的 指标 。 

(4) 该 产品 是 否 容易 被 躲避 。 常用 的 躲 开 入 侵 检测 的 方法 包括 分 片 、TIL 欺骗 、 异常 TCP 
分 段 、 慢 扫描 、 协 同 攻击 等 。 

(5) 产品 的 可 伸缩 性 。 包 括 系统 支持 的 传感器 数目 、 最 大 数据 库 大 小 、 传 感 器 与 控制 
台 之 间 的 通信 带宽 和 对 审计 日 志 溢出 的 处 理 。 

(6) 运行 与 维护 系统 的 开销 。 包 括 产品 报表 结构 、 处 理 误 报 的 方便 程度 、 事 件 与 日 志 
查询 的 方便 程序 以 及 使 用 该 系统 所 需 的 技术 人 员 数 量 。 

(7) 产品 支持 的 入 侵 特征 数 。 不 同 厂 商 对 检测 特征 库 大 小 的 计算 方法 都 不 一 样 。 

(8) 产品 有 哪些 响应 方法 。 要 从 本 地 、 远 程 等 多 个 角度 考察 。 自 动 更 改 防火 墙 配置 是 
一 个 听 起 来 很 不 错 的 功能 ， 但 是 ， 自 动 配置 防火 墙 是 一 个 极为 危险 的 举动 。 
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(9) 是 否 通过 了 国家 权威 机 构 的 评测 。 主 要 的 权威 测评 机 构 包 括 国家 信息 安全 测评 认 
证 中 心 和 公安 部 计算 机 信息 系统 安全 产品 质量 监督 检验 中 心 。 

理想 的 入 侵 检 测 系统 方案 应 该 具有 以 下 几 个 特点 。 

(1) 快速 控制 台 。 

(2) 良好 的 误 警报 管理 。 

(3) 显示 已 经 分 析 过 的 事件 。 

(4) 标志 已 经 分 析 过 的 事件 。 

(5) 层 层 探究 的 能 

(6) 关联 分 析 能 力 。 

(7) 报告 能 力 。 

从 目前 的 情况 来 看 ， 每 天 都 会 有 许多 新 的 入 侵 方 式 出 现 ， 对 于 入 侵 事件 的 检测 仅 靠 入 
侵 检测 系统 是 不 现实 的 ， 但 是 也 不 能 完全 放弃 入 侵 检 测 系统 。 即 使 是 训练 有 素 的 专家 级 分 
析 员 也 需要 通过 各 种 工具 才能 对 这 些 入 侵 行 为 进行 分 析 。 一 般 来 说 ， 提 供给 分 析 员 的 信息 
越 多 ,分 析 员 解决 入 侵 检测 问题 的 机 会 就 越 大 ， 但 是 任何 事情 都 不 能 走 入 极端 过 多 的 信 
息 也 有 可 能 使 分 析 员 在 大 量 的 信息 中 迷失 ， 将 宝贵 的 时 间 和 精力 浪费 在 如 何 分 离 大 量 的 无 
效 信息 上 。 因 此 合理 的 选择 并 部 署 入 侵 检测 系统 才能 获得 最 合理 的 入 侵 检 测 能 


6.6 ”入侵 检测 系统 实例 


6.6.1 常见 入 侵 检 测 系 统 介绍 


1. BlackICE 

该 软件 在 1999 年 获得 了 PC Magazine 的 技术 卓越 大 奖 ， 专 家 对 它 的 评语 是 :“ 对 于 没 
有 防火 墙 的 家 庭 用 户 来 说 ，BlackICE 是 一 道 不 可 缺少 的 防线 ， 而 对 于 企业 网 络 ， 它 又 增加 
了 一 层 保护 措施 。 它 并 不 是 要 取代 防火 墙 ， 而 是 阻止 企图 穿 过 防火 墙 的 入 侵 者 。BlackICE 
集成 有 非常 强大 的 检测 和 分 析 引 擎 ， 可 以 识别 200 多 种 入 侵 技巧 ， 给 你 全 面 的 网 络 检 测 以 
及 系统 防护 ， 它 还 能 即时 监测 网 络 端口 和 协议 ， 拦 截 所 有 可 疑 的 网 络 入 侵 ， 无 论 黑客 如 何 
费 尽心 机 也 无 法 危害 到 你 的 系统 。 而 且 它 还 可 以 将 查 明 的 那些 试图 入 侵 的 黑客 的 NetBIOS 
(WINS) 名 、DNS 名 或 是 它 目前 所 使 用 的 瑟 地 址 记录 下 来 ， 以 便 你 采取 进一步 行动 。 该 
软件 的 灵敏 度 和 准确 率 非 常 高 ， 稳 定性 也 相当 出 色 ， 系 统 资源 占用 率 极 少 ， 是 每 一 位 网 络 
用 户 网 络 监测 的 最 佳 选择 。” 

BlackICE 的 功能 如 下 : 

(1) 在 设置 中 增加 了 应 用 程序 与 通信 控制 的 功能 条 。 

(2) 可 控制 应 用 程序 是 否 在 计算 机 上 执行 。 

(3) 可 控制 哪些 应 用 程序 能 与 nternet 通信 。 
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(4) 扫描 系统 ， 检 测 所 有 系统 的 设置 改变 。 

(5) 可 在 事件 列表 中 记录 新 软件 与 新 通信 事件 的 发 生 情 况 。 

2. OSSEC HIDS 

这 一 个 基于 主机 的 开源 入 侵 检 测 系统 ， 可 以 执行 日 志 分 析 、 完 整 性 检查 、Windows 注 
册 表 监视 、rootkit 检测 、 实 时 警告 以 及 动态 的 实时 响应 。 除 了 其 IDS 的 功能 外 ， 它 通常 还 
可 以 被 用 作 一 个 SEM/SIM 解决 方案 。 因为 其 强大 的 日 志 分 析 引 擎 ， 互联 网 供应 商 、 大 学 和 
数据 中 心 都 乐意 运行 OSSEC HIDS， 以 监视 和 分 析 其 防火 墙 、IDS、Web 服务 器 和 身份 验证 
日 志 。 


6.6.2 入侵 检测 系统 Snort 简介 


Snort 是 一 个 免费 的 IDS (入 侵 监 测 系 统 ) 软件 ， 它 的 一 些 源 代码 是 从 著名 的 TcpDump 
软件 发 展 而 来 的 。 它 是 一 个 基于 libpcap 包 的 网 络 监控 软件 ， 可 以 作为 一 个 十 分 有 效 的 网 络 
入 侵 监 测 系 统 。 

Snort 首先 根据 远 端 的 了 P 地 址 建立 目录 ,然后 将 检测 到 的 包 以 TepDump 的 二 进 制 格式 
记录 或 者 以 自身 的 解码 形式 存储 到 这 些 目 录 中 。 这 样 一 来 , 就 可 以 使 用 snort 来 监测 或 过 滤 
用 户 所 需要 的 包 。 

Snort 是 一 个 轻 量 级 的 入 侵 检测 系统 ， 它 具有 截取 网 络 数据 报 文 ， 进 行 网 络 数据 实时 分 
析 、 报 警 ， 以 及 日 志 的 能 力 。Snort 的 报 文 截取 代码 是 基于 libpcap 库 的 ， 继 承 了 libpcap 库 
的 平台 兼容 性 。 它 能 够 进行 协议 分 析 ， 内 容 搜索 /匹配 ， 能 够 用 来 检测 各 种 攻击 和 探测 ， 例 
如 : 缓冲 区 溢出 、 隐 秘 端口 扫描 、CGI 攻 击 、SMB 探测 、OS 指纹 特征 检测 等 。Snort 使 用 
一 种 灵活 的 规则 语言 来 描述 网 络 数据 报 文 ， 因 此 可 以 对 新 的 攻击 做 出 快速 地 翻译 。Snort 
具有 实时 报警 能 力 。 可 以 将 报警 信息 写 到 syslog、 指 定 的 文件 、UNIX 套 接 字 或 者 使 用 
WinPopup 消息 。Snort 具有 良好 的 扩展 能 力 ， 它 支持 插件 体系 ， 可 以 通过 其 定义 的 接口 ， 
很 方便 地 加 入 新 的 功能 。Snort 还 能 够 记录 网 络 数据 ， 其 日 志文 件 可 以 是 TcpDump 格式 ， 
也 可 以 是 解码 的 ASCII 格式 。 

简单 地 说 ，Snort 是 数据 包 的 嗅 探 器 ， 也 是 数据 包 记 录 器 ， 还 是 网 络 入 侵 检 测 系统 

(NIDS)。 提 供 数据 包 嗅 探 和 记录 功能 只 是 Snort 的 部 分 功能 ，Snort 的 特点 就 是 其 入 侵 检 
测 功能 一 一 根据 入 侵 规 则 匹配 数据 包 中 的 内 容 。 

Snort 对 硬件 没有 特殊 的 要 求 。 对 Snort 来 说 ， 硬 件 系统 的 处 理 器 频率 越 高 越 好 ， 不 同 
网 络 使 用 的 网 卡 和 硬盘 空间 大 小 会 制约 Snort 捕捉 数据 包 和 存储 数据 包 的 功能 。 

Snort 的 产品 定位 为 简单 NIDS。 现 在 能 运行 在 x86 平台 的 Linux、FreeBSD、NetBSD、 
OpenBSD 和 Windows 等 操作 系统 上 。 另 外 ，Sparc Solaris、PowerPc、MacOS X、MKLinux 
和 PA-RISC、HP-UX 等 操作 系统 也 都 支持 Snort, 可 以 说 Snort 可 以 在 任何 流行 的 平台 上 运行 。 

Snort 可 提供 Protocol 分 析 、 内 容 查找 和 匹配 ， 可 以 用 来 检测 各 种 攻击 和 探测 ， 如 缓冲 
区 溢出 、 隐 项 端口 扫描 、CGI 攻 击 、SMB 探测 、 操 作 系统 指纹 识别 尝试 等 。 其 中 包 嗅 探 、 
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数据 包 记 录 和 入 侵 检 测 是 其 重要 功能 。Snort 的 架构 决定 了 它 的 各 种 功能 ，Snort 架构 由 以 
下 4 个 基本 模块 构成 。 

(1) 嗅 探 器 。 

(2) 预 处 理 器 。 

(3) 检测 引擎 。 

(4) 输出 模块 。 

Snort 的 最 简单 形式 就 是 包 嗅 探 器 ， 但 当 Snort 获取 到 数据 包 后 会 将 数据 包 传送 到 处 理 
模块 ， 然 后 通过 检测 引擎 判断 这 些 数 据 包 是 否 违反 了 某 些 预 定义 规则 。 

Snort 的 预 处 理 器 、 检 测 引擎 和 输出 模块 都 以 插件 形式 存在 。 插 件 就 是 符合 Snort 接口 
定义 的 程序 ， 这 些 程序 曾经 是 Snort 内 核 代 码 的 一 部 分 ， 现 在 独立 出 来 使 内 核 部 分 的 修改 
变 得 简单 可 靠 。 

包 嗅 探 器 用 来 监听 数据 ， 可 以 是 硬件 也 可 以 是 软件 。 一 个 网 络 嗅 探 器 使 应 用 程序 或 者 
硬件 设备 能 够 监听 网 络 上 的 数据 流 。 互 联网 多 是 卫 数据 流 ， 在 本 地 局 域 网 或 传统 网 络 中 多 
是 IPX 或 AppleTalk 数据 流 。 有 具体 来 说 ， 包 嗅 探 器 可 以 进行 网 络 分 析 及 错误 处 理 、 性 能 分 
析 及 基准 测量 、 监 听 明 文 密码 及 其 他 感 兴趣 的 数据 。 

预 处理 器 得 到 原始 数据 包 ， 使 用 不 同 的 插件 检测 数据 包 ， 这 些 插件 检测 数据 包 的 某 些 

特定 行为 。 一 旦 数据 包 被 确认 具有 某 些 特定 行为 ， 就 会 被 送 到 检测 模块 。 揪 件 可 以 根据 需 
要 在 与 处 理 层 被 启用 或 停 用 ， 从 而 更 具 网 络 优化 级 被 分 配 计算 资源 并 生成 报警 ， 插 件 是 入 
侵 检测 系统 的 一 个 非常 有 用 的 工具 。 
检测 引擎 接收 预 处 理 器 及 其 插件 传送 来 的 数据 ， 然 后 根据 一 系列 的 规则 对 数据 进行 检 
测 。 如 果 这 些 规 则 和 数据 包 中 的 数据 相 匹 配 ， 就 将 数据 包 传送 给 报警 处 理 器 。 
当 数 据 通过 检测 引擎 后 ，Snort 会 对 其 数据 进行 不 同 的 处 理 。 如 果 数 据 和 检测 引擎 的 规 
则 相 匹 配 , Snort 就 会 触发 报警 。 报警 可 以 通过 网 络 连接 、UNIX 的 套 接 字 或 Windows Popup 
(SMB), 甚至 SNMP 陷阱 机 制 发 送 到 日 志文 件 。 也 可 以 使 用 Snort 的 一 些 附加 工具 来 通过 
Web 接口 显示 日 志 内 容 ， 包 括 一 些 Perl、PHP 和 Web 服务 器 的 插件 等 。 日 志 可 以 存储 在 文 
本 文件 中 。 报 警 和 日 志 都 可 以 记录 到 数据 库 中 ， 如 MySQL 或 Postgree 等 。 另 外 ，Snort 报 
警 可 以 通过 系统 日 志 工 具 如 SWATCH 发 送 电子 邮件 及 时 通知 系统 管理 员 , 该 系统 不 需要 由 
专人 24 小 时 监控 。 


本 章 小 售 


入 侵 检测 系统 是 网 络 安全 保障 体系 结构 中 的 重要 环节 ， 它 为 实时 安全 事件 审计 、 发 现 
攻击 者 的 入 侵 行为 、 采 取 及 时 的 响应 措施 、 避 免 系 统 受到 进一步 的 危害 提供 了 技术 保障 。 

从 功能 上 讲 ， 入 侵 检测 系统 由 探测 器 、 分 析 器 和 用 户 接口 组 成 。 

入 侵 检测 系统 的 数据 可 以 来 自 多 方面 ， 针 对 这 些 安全 审计 数据 源 ， 入 侵 检测 系统 可 以 
采取 模式 匹配 、 统 计 分 析 等 误 用 检测 或 异常 检测 技术 ， 对 入 侵 行为 做 出 及 时 的 判断 ， 帮 助 
系统 管理 员 更 好 地 维护 系统 安全 。 717/ 
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一 、 填 空 题 


1. 入 侵 检测 系统 是 的 系统 。 
2. 入 侵 检测 系统 的 需求 特性 有 
性 。 

3. 从 功能 上 讲 ， 入 侵 检测 系统 由 和 3 部 分 组 成 。 
4. 网 络 入 侵 检测 是 通过 分 析 “来 工作 的 。 

5. 混合 入 侵 检测 系统 是 和 _ 入 侵 检测 系统 的 结合 。 


二 、 选 择 题 


1. 入 侵 检测 利用 的 信息 分 析 包 括 。 
A. 系统 和 网 络 日 志文 件 
B. 目录 和 文件 中 的 不 期 望 的 改变 和 程序 执行 中 的 不 期 望 的 行为 
C. 物理 形式 的 入 侵 信息 
D. 以 上 所 有 信息 
2. 用 于 事后 分 析 的 入 侵 检测 方法 是 


性 、 性 、 性 、 性 和 


A. 模式 匹配 B. 统计 分 析 
C. 完整 性 分 析 D. 可 靠 性 分 析 
3. 一 个 基于 网 络 的 入 侵 检测 程序 用 去 检测 攻击 。 
A. 一 次 攻击 的 分 析 B. DNS 的 配置 
C. 特征 数据 库 D. 包 探 测 器 
4. 一 个 基于 网 络 的 入 侵 检 测 程序 最 适合 检测 
A. 直接 攻击 和 木马 攻击 B. 直接 攻击 和 拒绝 服务 攻击 


C. 端口 扫描 和 拒绝 服务 攻击 D. 拒绝 服务 攻击 和 木马 攻击 


5. 一 个 基于 网 络 的 入 侵 检测 程序 探测 离开 网 络 的 数据 包 ， 系 统 的 最 重要 。 
A. 网 卡 的 质量 B. 系统 的 制造 商 
C. 系统 的 显示 器 D. 内 存 的 质量 

三 、 简 答题 


. 入 侵 检测 系统 的 作用 有 哪些 ? 

. 入 侵 检测 系统 由 哪些 部 分 组 成 ? 

简 述 入 侵 检 测 系统 发 展 的 动态 和 趋势 。 
.如 何 选 购 入 侵 检测 系统 ? 
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本 年 实 训 


实 训 ”入侵 检 测 软 件 BlackICE 的 使 用 


实 训 目的 


(1) 了 解 入 侵 检测 技术 的 基本 原理 。 
(2) 掌握 入 侵 检测 工具 BlackICE 的 使 用 。 


实 训 环 境 
(1) 一 台 连 上 Intermet 的 计算 机 。 
(2) 入 侵 检 测 软件 BlackICE。 

操作 步骤 

第 1 步 : BlackICE 软件 的 下 载 安装 。 


可 以 在 如 华军 软件 园 等 网 站 下 载 ， 本 实 训 以 BlackICE PC Protection 3.6 为 例 。 


解压 软件 后 ， 运 行 安装 程序 即 可 安装 BlackICE。 
第 2 步 : 熟悉 BlackICE 软件 界面 。 
BlackICE 软件 界面 如 图 6.4 所 示 。 


BlackICE PC Protection 
Ele Edt Yew Ioos Hep 
Events |Intruders | History | 


2006-5-1 12:11:23 UDP_Probe_Other 。 219.133.63.15 
(@® 2006-5-1 12:00:39 Applie: Min 


2006-5-1 11:46:56 Applic 


图 2006-5-1 10:37:14 各 

图 2006-5-1 10:37:12 Ap 

图 2006-5-1 10:34:52 Application Te 

人 10:12:32 All Proventia protec0.0.0.0 


ett Probe] This itnature detects WE port probes 
‘ected at ports not detected by more sp 


图 6.4 BlackICE 界面 


(1) 掌握 菜单 栏 中 菜单 的 操作 内 容 。 


(2) 掌握 Events (事件 )、Intruders (入 侵 ) 和 History (历史 ) 3 个 选项 卡 中 的 信息 内 容 。 


第 3 步 : 规则 设置 。 


(1) 规则 设置 与 编辑 。 选 择 菜单 栏 中 的 Tools (工具 ) 一 Edit BlackICE Settings (编辑 
BlackICE 设置 ) 命令 ， 出 现 BlackICE Settings 对 话 框 ， 用 户 可 以 根据 自己 的 需要 进行 配置 。 
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(2) 防火 墙 规则 设置 。 选择 菜单 栏 中 的 Tools (工具 ) 一 Advanced Application Protection 
Settings (高 级 防火 墙 设置 ) 命令 ， 出 现 Advanced Application Protection Settings( 高 级 防火 
墙 ) 对 话 框 ， 如 图 6.5 所 示 。 根 据 需 要 可 以 添加 、 删 除 和 修改 防火 墙 项 目 。 


Advanced Application Protection Settings 


Ele_Toos_ Hep 


Kon Mpplicstions | Baseliae| 


YIA TechVIA ENCT 


VIA TechyTA Bhim 


¥ InstallSiInstalls) 
Y InstallSIInstalls] 
YY InstallSiInstullsl 


图 6.5 Advanced Application Protection Settings( 高 级 防火 墙 对 话 框 


(3) 查阅 Intruders (入 侵 者 ) 信息 ,如 图 6.6 所 示 。 其 中 可 以 直接 将 入 侵 者 的 他 地 址 、 
计算 机 名 、NetBIOS 名 、DNS 名 、MAC 地 址 等 显示 出 来 。 如 果 用 户 确认 某 入 侵 者 后 ， 可 
以 在 入 侵 者 上 单 击 鼠标 右键 ， 在 弹出 的 快捷 菜单 中 通过 选择 Block Intruders (拦截 入 侵 者 ) 
选项 可 以 设置 拦截 入 侵 者 的 时 间 ， 时 间 共 有 4 个 选项 : For an Hour (1 小 时 )、Fora Day (1 
天 )、Fora Month (1 个 月 ) 和 Forever (永久 )。 


Ele Edt Yew Jook Hep on 
Events Intruders | istery| 


9 133. 63. 15] 
lo additional details have been 
scovered sbout this Intruder. 


图 6.6 Intruders (入 侵 者 ) 标签 设置 界面 
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> 热 各 计算 机 病毒 的 定义 、 分 类 、 特 点 。 
> 了 解 网 络 病 毒 的 特点 、 传 播 方式 。 
> 熟悉 常用 杀毒 软件 的 功能 。 


> 热 怠 网 络 病毒 的 清除 方法 与 过 程 。 
> 熟练 掌握 常用 杀毒 软件 的 使 用 。 
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随 着 计算 机 网 络 的 快速 发 展 以 及 网 络 应 用 的 不 断 深入 ， 计 算 机 病毒 的 防治 显得 更 加 重 
要 。Intemet 时 代 ， 网 络 成 为 了 计算 机 病毒 最 好 的 传播 途径 。 病 毒 扩 散 速 度 之 快 也 是 前 所 未 
有 的 ， 严 重 威胁 着 网 络 的 安全 。 


7.1 讨 工 抽 痪 每 概 过 


7.1.1 计算 机 病毒 的 定义 


从 广义 上 定义 ， 凡 能 引起 计算 机 故障 、 破 坏 计算 机 数据 的 程序 统称 为 计算 机 病毒 。“ 计 
算 机 病毒 ”的 概念 是 由 美国 计算 机 研究 专家 F.Cohen 最 早 提出 来 的 ， 像 生物 病毒 一 样 ， 计 
算 机 病毒 具有 独特 的 复制 能 力 。 它 们 能 把 自身 附 在 各 种 类 型 的 文件 上 ， 当 文件 被 复制 或 从 
一 个 用 户 传送 到 另 一 个 用 户 时 ， 它 们 就 随同 文件 一 起 蔓延 开 来 。 除 复制 能 力 外 ， 某 些 计算 
机 病毒 还 有 其 他 一 些 共同 特性 : 一 个 被 感染 的 程序 能 够 传送 病毒 载体 。 当 你 看 到 病毒 载体 
似乎 仅仅 表现 在 文字 和 图 像 上 时 ， 它 们 可 能 已 经 毁坏 了 文件 、 格 式 化 了 硬盘 或 引发 了 其 他 
类 型 的 灾害 。 若 是 病毒 并 不 寄生 于 一 个 污染 程序 ， 它 仍然 能 通过 占据 存储 空间 给 我 们 带 来 
麻烦 ， 并 降低 计算 机 的 性 能 。 

出 现在 计算 机 领域 中 的 计算 机 病毒 是 一 组 程序 ， 一 段 可 执行 码 ， 是 一 种 隐藏 在 计算 机 
系统 的 可 存 取信 息 资源 中 ， 利 用 系统 信息 资源 进行 繁殖 并 且 执 行 的 编码 集合 。 计 算 机 病毒 
在 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 第 二 十 八条 中 明确 定义 为 :“ 指 编制 或 
者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 毁坏 数据 、 影 响 计算 机 使 用 ， 并 能 够 自我 复 
制 的 一 组 计算 机 指令 或 者 程序 代码 。” 


7.1.2 计算 机 病毒 的 发 展 历史 


早 在 1949 年 ， 计 算 机 先驱 者 冯 “。 诺 依 曼 就 在 他 的 论文 《复杂 计算 机 组 织 论 》 中 ， 提 出 
了 计算 机 程序 能 够 在 内 存 中 自我 复制 ， 勾 勒 出 了 病毒 程序 的 蓝图 。 

1983 年 11 月 3 日 ， 弗 雷 德 。 科恩 博士 研制 出 了 一 种 在 运行 过 程 中 可 以 自我 复制 的 破 
坏 性 程序 , 伦 ， 艾 德 勒 曼 将 它 命名 为 计算 机 病毒 ， 并 在 每 周一 次 的 安全 讨论 会 上 正式 提出 ， 
8 小 时 后 专家 们 在 VAX11/750 计算 机 系统 上 运行 ， 第 一 个 病毒 实验 成 功 ， 一 周 后 获准 推出 
5 个 实验 的 演示 ， 从 而 在 实验 上 验证 了 计算 机 病毒 的 存在 。 

1985 年 初 ， 在 巴基斯坦 的 拉 合 尔 ， 巴 西 特 和 阿 姆 杰 得 两 兄弟 为 了 防盗 版 ， 编 写 了 “ 书 
基 斯 坦 智 窒 ”病毒 ， 该 病毒 传染 软盘 引导 ， 一 年 后 病毒 以 强劲 势头 流传 到 了 全 世界 。 这 是 
最 早 在 世界 上 流行 的 一 个 真正 的 病毒 。 几 乎 同时 ， 世 界 各 地 的 计算 机 用 户 也 发 现 了 形 形 色 
色 的 计算 机 病毒 ， 如 黑色 星期 五 、 大 麻 等 。 


7.1.3 ”计算 机 病毒 的 特征 
、、 ， 在 计算 机 病毒 所 具有 的 特征 中 ， 传 染 性 、 潜 伏 性 、 可 触发 性 和 破坏 性 是 它 的 基本 特征 。 


aas 


其 次 ， 它 还 有 隐蔽 性 、 针 对 性 、 衍 生性 和 不 可 预见 性 等 。 

1. 传染 性 

病毒 的 传染 性 也 称 为 自我 复制 和 可 传播 性 ， 这 是 计算 机 病毒 的 本 质 特 征 。 在 一 定 条 件 
下 ， 病 毒 通过 某 种 渠道 从 一 个 文件 或 一 台 计 算 机 传染 到 另外 没有 被 感染 的 文件 或 计算 机 ， 
轻 则 造成 被 感染 的 计算 机 数据 或 工作 失常 ， 重 则 使 计算 机 瘫痪 。 病 毒 代 码 就 是 靠 这 种 机 制 
大 量 传播 和 扩散 的 。 携 带 病毒 代码 的 文件 称 为 计算 机 病毒 载体 或 带 毒 程序 。 每 一 台 被 感染 
了 病毒 的 计算 机 ， 本 身 是 一 个 受害 者 ， 又 是 计算 机 病毒 的 传播 者 ， 通 过 各 种 可 能 的 渠道 ， 
如 软盘 、 光 盘 、 移 动 硬盘 、 网 络 去 传染 其 他 的 计算 机 。 在 染 毒 的 计算 机 上 曾经 使 用 过 的 移 
动 硬盘 ， 很 有 可 能 已 被 计算 机 病毒 感染 ， 如 果 拿 到 其 他 机 器 上 使 用 ， 病 毒 就 会 通过 带 毒 移 
动 硬盘 传染 这 些 机 器 。 如 果 计算 机 已 经 联网 ， 通 过 数据 或 程序 共享 ， 病 毒 就 可 以 迅速 传染 
与 之 相连 的 计算 机 ， 若 不 加 以 控制 ， 就 会 在 很 短 的 时 间 内 传 遍 整个 世界 。 

2. 潜伏 性 

一 个 编制 巧妙 的 病毒 程序 ， 进 入 系统 之 后 一 般 不 会 马上 发 作 ， 可 以 在 一 段 时 间 内 隐藏 
在 合法 文件 中 ， 对 其 他 文件 或 计算 机 进行 传染 ， 而 不 被 人 发 现 。 在 此 期 间 ， 系 统 的 备份 设 
备 复 制 病毒 程序 ， 制 成 程序 或 数据 的 副本 并 送 到 其 他 的 部 位 使 之 感染 。 它 可 长 期 隐藏 在 系 
统 中 ， 只 有 在 满足 其 特定 条 件 时 才 启 动 其 表现 〈 破 坏 ) 模块 。 只 有 这 样 ， 它 才能 进行 广泛 
的 传播 。 如 著名 的 “黑色 星期 五 ”病毒 在 每 逢 13 号 的 星期 五 发 作 。 国 内 的 “上 海 一 号 ” 病 
毒 会 在 每 年 3、6、9 月 的 13 号 发 作 。 这 些 病 毒 在 平时 会 隐藏 得 很 好 ， 只 有 在 发 作 日 才 会 露 
出 本 来 面目 。 

3， 可 触发 性 

病毒 因 某 个 事件 或 数值 的 出 现 ， 诱 使 病毒 实施 感染 或 进行 攻击 的 特性 称 为 可 触发 性 。 为 
了 隐蔽 自己 ， 病 毒 必须 潜伏 ， 少 做 动作 。 如 果 完 全 不 动 ， 一 直 潜伏 的 话 ， 病 毒 既 不 能 感染 ， 
也 不 能 进行 破坏 ， 便 失去 了 杀伤 力 。 病 毒 既 要 隐蔽 又 要 维持 杀伤 力 ， 它 必须 具有 可 触发 性 。 病 
毒 的 触发 机 制 就 是 用 来 控制 感染 和 破坏 动作 的 频率 。 病 毒 具有 预定 的 触发 条 件 ， 这 些 条 件 可 能 
是 时 间 、 日 期 、 文 件 类 型 或 某 些 特定 数据 等 。 病 毒 运行 时 ， 触 发 机 制 检查 预定 条 件 是 否 满足 ， 
如 果 满 足 ， 启 动感 染 或 破坏 动作 ， 使 病毒 进行 感染 或 攻击 ; 如 果 不 满足 ， 使 病毒 继续 潜伏 。 

4. 破坏 性 


任何 病毒 只 要 侵入 系统 ， 都 会 对 系统 及 应 用 程序 产生 不 同 程度 的 影响 。 轻 者 会 降低 计 
算 机 工作 效率 ， 占 用 系统 资源 ， 重 者 可 臻 系统 崩溃 。 由 此 特性 可 将 病毒 分 为 良性 病毒 与 恶 
性 病毒 。 良 性 病毒 可 能 只 显示 些 画 面 或 播 出 点 音乐 、 无 聊 的 语句 ， 或 者 根本 没有 任何 破坏 
动作 ， 但 会 占用 系统 资源 。 这 类 病毒 较 多 ， 如 女 鬼 (Joke.Girlghosty)、W-BOOT 等 病毒 。 恶 
性 病毒 则 有 明确 的 目的 ， 破 坏 数据 、 删 除 文件 或 加 密 磁 盘 、 格 式 化 磁盘 ， 有 的 对 数据 造成 
不 可 挽回 的 破坏 。 

5.， 隐 项 性 

病毒 一 般 是 具有 很 高 编程 技巧 、 短 小 精 悍 的 程序 ， 通 常 附 在 正常 程序 中 或 磁盘 较 隐 蔽 
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的 地 方 ， 也 有 个 别 的 以 隐藏 文件 的 形式 出 现 ， 目 的 是 不 让 用 户 发 现 它 的 存在 。 如 果 不 经 过 代 
码 分 析 ， 病 毒 程序 与 正常 程序 是 不 容易 区 别 开 来 的 。 系 统 被 感染 病毒 后 ， 一 般 情 况 下 用 户 
是 感觉 不 到 它 的 存在 的 ， 只 有 其 发 作 ， 出 现 不 正常 反应 时 用 户 才 知 道 。 

6 针对 性 


计算 机 病毒 一 般 都 是 针对 于 特定 的 操作 系统 ， 比 如 说 微软 的 Windows XP/2000/2003， 
或 者 针对 特定 的 应 用 程序 。 例 如 ， 有 针对 IBM/PC 机 及 其 兼容 机 的 ， 有 针对 Apple 公司 的 
Macintosh， 还 有 针对 UNIX 操作 系统 的 。 

7. 衍生 性 

这 种 特性 为 病毒 制造 者 提供 了 一 种 创造 新 病毒 的 捷径 。 分 析 计 算 机 病毒 的 结构 可 知 ， 
传染 的 破坏 部 分 反映 了 设计 者 的 设计 思想 和 设计 目的 ， 但 是 ， 这 可 以 被 其 他 掌握 原理 的 人 
以 其 个 人 的 企图 进行 任意 改动 ， 从 而 衍生 出 一 种 不 同 于 原版 本 的 新 的 计算 机 病毒 (又 称 为 
变种 )， 这 就 是 它 的 衍生 性 。 这 种 变种 病毒 造成 的 危害 可 能 比 原版 病毒 严重 得 多 。 

8.， 不 可 预见 性 

不 同 种 类 病毒 的 代码 千差万别 ， 病 毒 的 制作 技术 也 在 不 断 地 提高 ， 病 毒 比 反 病 毒 软件 
永远 是 超前 的 。 新 的 操作 系统 和 应 用 系统 的 出 现 ， 软 件 技术 的 不 断 发 展 ， 也 为 计算 机 病毒 
提供 了 新 的 发 展 空 间 ， 对 未 来 病毒 的 预测 更 加 困难 ， 这 就 要 求人 们 不 断 提 高 对 病毒 的 认识 ， 
增强 防范 意识 。 


7.1.4 计算 机 病毒 的 种 类 


计算 机 病毒 的 分 类 方法 有 很 多 种 。 按 照 基本 类 型 划分 ， 可 归纳 为 6 种 类 型 ， 包 括 引导 
型 病毒 、 可 执行 文件 病毒 、 宏 病毒 、 混 合 型 病毒 、 特 洛 伊 木马 型 病毒 和 Web 网 页 病毒 。 

1.， 引 导 型 病毒 

引导 型 病毒 主要 是 感染 软盘 、 硬 盘 的 引导 扇 区 或 主 引导 扇 区 ， 在 用 户 对 软盘 、 硬 盘 进 
行 读 写 操作 时 进行 感染 活动 。 我 国 流行 的 引导 型 病毒 有 Anti-CMOS、GENP/GENB 、Stone、 
Torch、Monkey 等 。 

2. 可 执行 文件 病毒 

可 执行 文件 病毒 主要 是 感染 计算 机 中 的 可 执行 文件 〈.exe) 和 命令 文件 〈.com)。 文 件 
型 病毒 是 对 计算 机 的 源 文件 进行 修改 ， 使 其 成 为 新 的 带 毒 文件 。 一 旦 计算 机 运行 该 文件 就 
会 被 感染 ， 从 而 达到 传播 的 目的 。 像 我 国 流行 的 Die_ Hard、DIR II 等 病毒 都 属 此 类 。 

3. 宏 病 毒 

宏 病 毒 是 利用 高 级 语言 一 一 宏 语 言 编制 的 病毒 。 宏 病毒 仅 向 Word、Excel、Access、Power 
Point 和 Project 等 办 公 自 动 化 程序 编制 的 文档 进行 传染 ， 而 不 会 传染 给 可 执行 文件 。 由 于 
这 些 办 公 处 理 程序 在 全 球 存在 着 广泛 的 用 户 ， 大 家 频繁 使 用 这 些 程 序 编制 文档 、 电 子 表格 

\，/ 和 数据 库 ， 并 通过 移动 硬盘 、Intemet 进行 交换 ， 所 以 , 宏 病 毒 的 传播 十 分 迅速 并 非常 广泛 。 
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国内 流行 的 宏 病 毒 包括 X2000M.Laroux.A、Concept、Simple2、ethan、7 月 杀手 等 。 

4.， 混合 型 病毒 

顾名思义 ， 混 合 型 病毒 是 以 上 几 种 病毒 的 混合 。 它 的 破坏 性 更 大 ， 传 染 的 机 会 也 更 多 ， 
杀 灭 也 更 困难 。 这 种 病毒 扩大 了 病毒 程序 的 传染 途径 ， 它 既 感染 磁盘 的 引导 记录 ， 又 感染 
可 执行 文件 。 当 染 有 此 种 病毒 的 磁盘 用 于 引导 系统 或 调用 执行 染 毒 文件 时 ， 病 毒 都 会 被 激 
活 。 因 此 在 检测 、 清 除 复合 型 病毒 时 ， 必 须 全 面 彻底 地 根治 ， 如 果 只 发 现 该 病毒 的 一 个 特 
性 ， 把 它 只 当 作 引导 型 或 文件 型 病毒 进行 清除 ， 虽 然 好 像 是 清除 了 ， 但 还 留 有 隐患 ， 这 种 
经 过 消毒 后 的 “洁净 ”系统 更 赋 有 攻击 性 。 这 种 病毒 包括 Flip 病毒 、 新 世纪 病毒 、One-half 
病毒 等 。 

5， 特洛伊 木马 型 病毒 

特洛伊 木马 型 病毒 也 叫 黑客 程序 或 后 门 病毒 。 一 般 这 种 病毒 分 成 服务 器 端 和 客户 端 两 
部 分 ， 如 计算 机 网 络 中 服务 器 端 被 此 程序 感染 ， 别 人 可 通过 网 络 中 其 他 计算 机 任意 控制 此 
计算 机 ， 并 获得 重要 文件 。 国 内 流行 的 此 类 病毒 包括 QQ 大 盗 、 鬼 影 、Trojan.Win32.Fednu. 
umz 等 。 

6，Web 网 页 病毒 

随 着 Intemet 的 发 展 ，Web 网 页 技术 逐渐 被 广泛 应 用 ， 某 些 病 毒 虽 然 从 现在 的 发 展 情 
况 来 看 并 不 能 破坏 硬盘 上 的 资料 ， 但 是 如 果 用 户 使 用 浏览 器 来 浏览 含有 这 些 病毒 的 网 页 ， 
浏览 器 就 会 把 这 些 程 序 抓 下 来 ， 然 后 用 使 用 者 自己 系统 里 的 资源 去 执行 ， 因 而 ， 使 用 者 就 
在 不 知 不 觉 的 状态 下 ， 被 病毒 进入 机 器 进行 复制 并 通过 网 络 窃取 宝贵 的 个 人 信息 ， 或 使 计 
算 机 系统 资源 利用 率 下 降 ， 造 成 死机 现象 ， 并 且 该 病毒 会 在 一 台 一 台 的 终端 上 不 断 传播 。 
这 类 病毒 包括 欢乐 时 光 (VBS.Happytime)、 十 四 日 (Js.Fortnight.c.s) 等 。 


7.1.5 计算 机 病毒 的 工作 原理 


认 清 计算 机 病毒 的 结构 和 主要 特征 ， 了 解 计算 机 病毒 工作 的 一 般 过 程 及 原理 ， 可 以 为 
我 们 检测 和 清除 病毒 提供 充实 可 靠 的 依据 ， 针 对 每 个 环节 做 出 相应 的 防范 措施 。 

1， 计 算 机 病毒 的 工作 过 程 

计算 机 病毒 的 完整 工作 过 程 一 般 应 包括 以 下 几 个 环节 。 

(1) 传染 源 : 病毒 总 是 依附 于 某 些 存储 介质 ， 如 软盘 、 硬 盘 等 构成 传染 源 。 

(2) 传染 媒介 : 病毒 传染 的 媒介 由 工作 环境 来 决定 ， 可 能 是 计算 机 网 络 ， 也 可 能 是 可 
移动 的 存储 介质 ， 如 移动 硬盘 等 。 

(3) 病毒 激活 : 是 指 将 病毒 装 入 内 存 ， 并 设置 触发 条 件 ， 触 发 的 条 件 是 多 样 化 的 ， 可 
以 是 内 部 时 钟 、 系 统 的 日 期 、 用 户 标识 符 ， 也 可 能 是 系统 一 次 通信 等 。 一 旦 触发 条 件 成 熟 ， 
病毒 就 开始 作用 ， 自 我 复制 到 传染 对 象 中 ， 进 行 各 种 破坏 活动 等 。 

(4) 病毒 表现 : 表现 是 病毒 的 主要 目的 之 一 ， 有 时 在 屏幕 上 显示 出 来 ， 有 时 则 表现 为 
破坏 系统 数据 。 可 以 这 样 说 ， 凡 是 软件 技术 能 够 触发 到 的 地 方 ， 都 在 其 表现 范围 内 。 
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(5) 传染 : 病毒 的 传染 是 病毒 性 能 的 一 个 重要 标志 。 在 传染 环节 中 ， 病 毒 复制 一 个 自 
身 副 本 到 传染 对 象 中 去 。 


2. 计算 机 病毒 的 引导 机 制 


(1) 计算 机 病毒 的 寄生 对 象 。 

计算 机 病毒 存储 在 磁盘 上 ， 为 了 进行 自身 的 主动 传播 ， 必 须 寄生 在 可 以 获得 执行 权 的 
寄生 对 象 上 。 就 目前 出 现 的 各 种 计算 机 病毒 来 看 ， 其 寄生 对 象 有 两 种 ， 一 种 是 寄生 在 磁盘 
引导 扇 区 ;， 另 一 种 是 寄生 在 可 执行 文件 (.exe 或 .com) 中 。 不 论 是 磁盘 引导 扇 区 还 是 可 执 
行文 件 ， 它 们 都 有 获取 执行 权 的 可 能 ， 病 毒 程序 寄生 在 它们 上 面 ， 就 可 以 在 一 定 条 件 下 获 
得 执行 权 ， 从 而 使 病毒 得 以 进入 计算 机 系统 ， 并 处 于 激活 状态 ， 然 后 进行 病毒 的 动态 传播 
和 破坏 活动 。 

(2) 计算 机 病毒 的 寄生 方式 。 

计算 机 病毒 的 寄生 方式 有 两 种 ， 一 种 是 采用 替代 法 ; 另 一 种 是 采用 链接 法 。 所 谓 蔡 代 
法 是 指 病毒 程序 用 自己 的 部 分 或 全 部 指令 代码 ， 蔡 代 磁 盘 引 导 扇 区 或 文件 中 的 全 部 或 部 分 
内 容 ， 所 谓 链 接 法 则 是 指 病毒 程序 将 自身 代码 作为 正常 程序 的 一 部 分 与 原 有 正常 程序 链接 
在 一 起 ， 病 毒 链接 的 位 置 可 能 在 正常 程序 的 首部 、 尾 部 或 中 间 。 寄 生 在 磁盘 引导 扇 区 的 病 
毒 一 般 采 取 蔡 代 法 ， 而 寄生 在 可 执行 文件 中 的 病毒 一 般 采 用 链接 法 。 

(3) 驻 留 内 存 。 

计算 机 病毒 若 要 发 挥 破坏 作用 ， 要 开辟 所 用 内 存 空 间或 覆盖 系统 占用 的 部 分 内 存 空间 
以 便 驻 留 内 存 。 当 病毒 程序 驻 留 内 存 后 ， 必 须 使 有 关 部 分 取代 或 扩充 系统 的 原 有 功能 ， 并 
窃取 系统 的 控制 权 。 此 后 病毒 程序 依据 其 设计 思想 ， 隐 藏 自 己 ， 等 待 时 机 ， 在 条 件 成 熟 时 ， 
再 进行 传染 和 破坏 。 

病毒 为 隐藏 自己 ， 驻 留 内 存 后 还 要 恢复 系统 ， 使 系统 不 会 死机 ， 只 有 这 样 才能 等 待 时 
机 成 熟 后 ， 进 行 感染 和 破坏 。 有 的 病毒 在 加 载 之 前 进行 动态 反 跟踪 和 病毒 体 解密 。 

对 于 寄生 在 磁盘 引导 扇 区 的 病毒 来 说 ， 病 毒 引导 程序 占用 了 原 系统 引导 程序 的 位 置 ， 
并 把 原 系统 引导 程序 转移 到 一 个 特定 的 地 方 。 这 样 系统 一 启动 ， 病 毒 引导 模块 就 会 自动 地 
装 入 内 存 并 获得 执行 权 ， 然 后 该 引导 程序 负责 将 病毒 程序 的 传染 模块 和 发 作 模块 装 入 内 存 
的 适当 位 置 ， 并 采取 常 驻 内 存 技术 以 保证 这 两 个 模块 不 会 被 覆盖 ， 接 着 对 这 两 个 模块 设 定 
某 种 激活 方式 ,使 之 在 适当 的 时 候 获 得 执行 权 。 这 些 工 作 完成 后 ,病毒 引导 模块 装 入 内 存 ， 
使 系统 在 带 病毒 的 状态 下 运行 。 

对 于 寄生 在 可 执行 文件 中 的 病毒 来 说 ， 病 毒 程序 一 般 通过 修改 原 有 可 执行 文件 ， 使 该 
文件 执行 时 首先 转 入 病毒 程序 引导 模块 ， 该 引导 模块 负责 把 病毒 程序 的 其 他 两 个 模块 驻 留 
内 存 及 进行 初始 化 的 工作 ， 然 后 把 执行 权 交 给 执行 文件 ， 使 系统 及 执行 文件 在 带 毒 的 状态 
下 运行 。 

3. 计算 机 病毒 的 触发 机 制 

传染 、 潜 伏 、 可 触发 、 破 坏 是 病毒 的 基本 特性 。 可 触发 性 是 病毒 的 攻击 性 和 潜伏 性 之 
间 的 调整 杠杆 ， 可 以 控制 病毒 感染 和 破坏 的 频 度 ， 兼 顾 杀伤 力 和 潜伏 性 。 


\ 7/ 过 于 苛刻 的 触发 条 件 ， 可 能 使 病毒 有 好 的 潜伏 性 ， 但 不 易 传 播 ， 杀 伤 力 较 低 。 而 过 于 


宽松 的 触发 条 件 将 导致 病毒 频繁 感染 与 破坏 ， 容 易 暴 露 ， 导 致 用 户 做 出 反 病毒 处 理 ， 也 不 
EE 有 大 的 杀伤 力 。 

计算 机 病毒 在 传染 和 发 作 之 前 ， 往 往 要 判断 某 些 特定 条 件 是 否 满足 ， 满 足 则 传染 或 发 
作 ， 和 否则 不 传染 、 不 发 作 或 只 传染 不 发 作 ， 这 个 条 件 就 是 计算 机 病毒 的 触发 条 件 。 

实际 上 病毒 采用 的 触发 条 件 花样 繁多 ， 目 前 病毒 采用 的 触发 条 件 主要 有 以 下 几 种 。 

(1) 时 间 触 发 : 它 包括 特定 的 时 间 触 发 、 染 毒 后 累计 工作 时 间 触 发 、 文 件 最 后 写 入 时 
间 触 发 等 。 

(2) 键盘 触发 : 有 些 病 毒 监 视 用 户 的 击 键 动作 ， 当 发 现 病毒 预定 的 输入 时 ， 病 毒 被 激 
活 ， 进 行 某 些 特定 操作 。 键 盘 触 发 包括 击 键 次 数 触 发 、 组 合 键 触 发 、 热 启动 触发 等 。 

(3) 日 期 触发 : 许多 病毒 采用 日 期 作 触 发 条 件 。 日 期 触发 大 体 包括 特定 日 期 触发 、 月 
份 触发 、 前 半年 或 后 半年 触发 等 。 

(4) 启动 触发 : 病毒 对 机 器 的 启动 次 数 计数 ， 并 将 此 值 作 为 触发 条 件 。 

(5) 访问 磁盘 次 数 触发 : 病毒 对 磁盘 IO 访问 的 次 数 进行 计数 ， 以 预定 次 数 做 为 触发 
条 件 。 

(6) 调用 中 断 功 能 触发 :病毒 对 中 断 调用 次 数 计 数 ， 以 预定 次 数 做 为 触发 条 件 。 

被 计算 机 病毒 使 用 的 触发 条 件 是 多 种 多 样 的 ， 而 且 往往 不 只 是 使 用 上 面 所 述 的 某 一 个 
条 件 ， 而 是 使 用 多 个 条 件 组 合 起 来 的 触发 条 件 。 大 多 数 病毒 的 组 合 触发 条 件 是 基于 时 间 的 ， 
再 加 上 读 、 写 操作 ， 按 键 操作 以 及 其 他 条 件 。 如 “侵略 者 ”病毒 的 激发 时 间 是 开机 后 机 器 
运行 时 间 和 病毒 传染 个 数 成 某 个 比例 时 ， 恰 好 按 Ctrl+AlttDelete 组 合 键 试图 重新 启动 系统 
则 病毒 发 作 。 

病毒 中 有 关 触 发 机 制 的 编码 是 其 敏感 部 分 。 剖 析 病 毒 时 ， 如 果 搞 清 病 毒 的 触发 机 制 ， 
可 以 修改 此 部 分 代码 ， 使 病毒 失效 ， 从 而 产生 没有 潜伏 性 的 极为 外 露 的 病毒 样本 ， 供 反 病 
毒 研究 使 用 。 

4. 计算 机 病毒 的 破坏 行为 

计算 机 病毒 的 破坏 行为 体现 了 病毒 的 杀伤 能 力 。 病 毒 破坏 行为 的 激烈 程度 取决 于 病毒 
作者 的 主观 愿望 和 他 所 具有 的 技术 能 量 。 数 以 万 计 、 不 断 发 展 扩张 的 病毒 ， 其 破坏 行为 千 
奇 百 怪 ， 不 可 能 穷 举 其 破坏 行为 。 我 们 可 以 把 病毒 的 破坏 目标 和 攻击 部 位 归纳 如 下 。 

(1) 攻击 系统 数据 区 。 攻 击 部 位 包括 硬盘 主 引 导 区 、Boot 扇 区 、FAT 表 、 文 件 目录 。 
一 般 说 来 ， 攻 击 系统 数据 区 的 病毒 是 恶性 病毒 ， 受 损 的 数据 不 易 恢 复 。 

(2) 攻击 文件 。 病 毒 对 文件 的 攻击 方式 有 很 多 ， 包 括 删 除 、 改 名 、 蔡 换 内 容 、 丢 失 部 
分 程序 代码 、 内 容 颠 倒 、 写 入 时 间 空 白 、 变 碎片 、 假 冒 文件 、 丢 失 文 件 簇 和 丢失 数据 文件 。 

(3) 攻击 内 存 。 内 存 是 计算 机 的 重要 资源 ， 也 是 病毒 的 攻击 目标 。 病 毒 额外 地 占用 和 
消耗 系统 的 内 存 资 源 ， 可 以 导致 一 些 大 程序 受阻 。 病毒 攻击 内 存 的 方式 包括 占用 大 量 内 存 、 
改变 内 存 总 量 、 禁 止 发 配 内 存 和 蚕食 内 存 。 

(4) 干扰 系统 运行 。 病 毒 会 干扰 系统 的 正常 运行 ， 以 此 作为 自己 的 破坏 行为 。 此 类 行为 
也 是 花样 繁多 ,例如 ， 不 执行 命令 、 干 扰 内 部 命令 的 执行 、 虚 假 报警 、 打 不 开 文件 、 内 部 栈 溢 
出 、 占 用 特殊 数据 区 、 换 现行 盘 、 时 钟 倒转 、 重 启动 、 死 机 、 强 制 游戏 、 扰 乱 串 并 口 。 
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(5) 运行 速度 下 降 。 病 毒 激活 时 ， 其 内 部 的 时 间 延 迟 程序 启动 。 在 时 钟 中 纳入 了 时 间 
的 循环 计数 ， 迫 使 计算 机 空转 ， 计 算 机 速度 明显 下 降 。 

(6) 攻击 磁盘 。 其 包括 攻击 磁盘 数据 、 不 写 盘 、 写 操作 变 读 操作 、 写 盘 时 丢 字 节 。 

(7) 攻击 CMOS。 在 机 器 的 CMOS 区 中 ， 保 存 着 系统 的 重要 数据 ， 例 如 系统 时 钟 、 
磁盘 类 型 、 内 存 容 量 等 ,并 具有 校 验 和 。 有 的 病毒 激活 时 ， 能 够 对 CMOS 区 进行 写 入 动作 ， 
破坏 系统 CMOS 区 中 的 数据 。 

5， 计算 机 病毒 的 传播 


(1) 计算 机 病毒 传播 的 一 般 过 程 。 

在 系统 运行 时 ， 计 算 机 病毒 通过 病毒 载体 即 系统 的 外 存储 器 进入 系统 的 内 存储 器 ， 常 
驻 内 存 。 该 病毒 在 系统 内 存 中 监视 系统 的 运行 ， 当 它 发 现 有 攻击 的 目标 存在 并 满足 条 件 时 ， 
便 从 内 存 中 将 自身 存 入 被 攻击 的 目标 ， 从 而 将 病毒 进行 传播 。 而 病毒 利用 系统 INT 13H 写 
磁盘 的 中 断 又 将 其 写 入 系统 的 外 存储 器 软盘 或 硬盘 中 ， 再 感染 其 他 系统 。 

(2) 计算 机 病毒 的 传播 途径 。 

计算 机 病毒 具有 自我 复制 和 传播 的 特点 ， 因 此 ， 研 究 计 算 机 病毒 的 传播 途径 是 极为 重 
要 的 。 从 计算 机 病毒 的 传播 机 制 分 析 可 知 ， 只 要 是 能 够 进行 数据 交换 的 介质 都 可 能 成 为 计 
算 机 病毒 传播 途径 。 现 在 通过 Intemet 传播 计算 机 病毒 与 过 去 手工 传播 计算 机 病毒 的 方式 相 
比 速度 要 快 得 多 。 

目前 ， 网 络 和 电子 邮件 已 经 成 为 最 重要 的 病毒 传播 途径 。 此 外 ， 传 统 的 软盘 、 光 盘 等 
传播 方式 也 占据 了 一 定 的 比例 。 

网 络 是 由 相互 连接 的 一 组 计算 机 组 成 的 ， 这 是 数据 共享 和 相互 协作 的 需要 。 数 据 能 
一 台 计 算 机 发 送 到 其 他 计算 机 上 。 如 果 发 送 的 数据 感染 了 计算 机 病毒 ， 接 收 方 的 计算 机 将 
自动 被 感染 ， 因 此 有 可 能 在 很 短 的 时 间 内 感染 整个 网 络 中 的 计算 机 。 

局 域 网 技术 的 应 用 为 企业 的 发 展 作出 了 巨大 贡献 ， 同 时 也 为 计算 机 病毒 的 迅速 传播 创 
造 了 条 件 。 特 别 是 国际 互联 网 ， 已 经 越 来 越 多 地 被 用 于 获取 信息 、 发 送 和 接收 文件 、 接 收 
和 发 布 新 的 消息 以 及 下 载 文件 的 程序 。 随 着 互联 网 的 高 速 发 展 ， 计 算 机 病毒 也 走 上 了 高 速 
传播 之 路 ， 已 经 成 为 计算 机 病毒 的 第 一 传播 途径 。 除 了 传统 的 文件 型 计算 机 病毒 以 文件 下 
载 、 电 子 邮件 的 附件 等 形式 传播 外 ， 新 兴 的 电子 邮件 计算 机 病毒 ， 如 “美丽 莎 ” 计 算 机 病 
毒 、“ 我 爱 你 ”计算 机 病毒 等 则 是 完全 依靠 网 络 来 传播 。 甚 至 还 有 利用 网 络 分 布 计算 机 技术 
将 自身 分 成 若干 部 分 ， 隐 藏 在 不 同 的 主机 上 进行 传播 的 计算 机 病毒 。 

目前 , 移动 硬盘 是 使 用 广泛 、 移动 频繁 的 存储 介质 ,因此 也 成 了 计算 机 病毒 寄生 的 “ 温 
床 ”。 盗版 光盘 上 的 软件 和 游戏 及 非法 复制 也 是 目前 传播 计算 机 病毒 的 主要 途径 。 硬盘 是 数 
据 的 主要 存储 介质 ， 因 此 也 是 计算 机 病毒 感染 的 重 灾区 。 硬 盘 传 播 计算 机 病毒 的 途径 体现 
在 : 硬盘 在 移动 硬盘 上 复制 带 毒 文件 、 带 毒 情况 下 格式 化 另 一 硬盘 、 向 光盘 上 刻录 带 毒 文 
件 和 硬盘 之 间 的 数据 复制 ， 以 及 将 带 毒 文件 发 送 到 其 他 地 方 等 。 

计算 机 病毒 也 可 以 通过 点 对 点 通信 系统 和 无 线 通道 传播 。 但 目前 这 种 传播 途径 还 不 是 
十 分 广泛 ， 但 预计 在 未 来 的 信息 时 代 ， 这 种 途径 很 可 能 与 网 络 传播 途径 成 为 病毒 扩散 的 两 
大 途径 。 
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7.1.6 计算 机 病毒 的 检测 、 防 范 和 清除 


随 着 网 络 的 发 展 ， 伴 随 而 来 的 计算 机 病毒 传播 问题 越 来 越 引起 人 们 的 关注 。 互 联网 的 
普及 使 有 些 计算 机 病毒 借助 网 络 爆发 流行 ， 如 2012 年 主要 流行 的 U 盘 寄 生 虫 及 其 变种 、 
网 游 窃 贼 及 其 变种 、 代 理 木 马 及 其 变种 等 病毒 ， 它 们 与 以 往 的 计算 机 病毒 相 比 具有 一 些 新 
的 特点 ， 给 广大 计算 机 用 户 带 来 了 极 大 的 损失 。 

在 与 计算 机 病毒 的 对 抗 中 ， 如 果 能 采取 有 效 的 防范 措施 ， 就 能 使 系统 不 染 毒 ， 或 者 染 
毒 后 减少 损失 。 当 计算 机 系统 或 文件 染 有 计算 机 病毒 时 ， 需 要 检测 和 清除 。 但 是 ， 隐 性 计 
算 机 病毒 和 多 态 性 计算 机 病毒 使 人 难以 检测 。 

1， 计算 机 病毒 的 检测 

判断 自己 的 计算 机 中 是 否 染 有 病毒 ， 最 简单 的 方法 是 用 较 新 的 防 病毒 软件 对 磁盘 进行 
全 面 的 检测 。 无 论 什么 病毒 ， 在 其 入 侵 系 统 后 总 会 留 下 一 些 “ 蛛 丝 马 迹 ” 如 何 及 早 地 发 现 
新 病毒 呢 ? 

用 户 可 以 用 下 面 简单 的 方法 判断 : 首先 应 注意 内 存 情况 ， 绝 大 部 分 的 病毒 是 要 驻 留 内 
存 的， 应 注意 被 占用 的 内 存 数 是 否 无 故 减少 。 其 次 应 注意 常用 的 可 执行 文件 (如 command. 
com) 的 字 节 数 ， 绝 大 多 数 的 病毒 在 对 文件 进行 传染 后 会 使 文件 的 长 度 增加 。 在 查看 文件 
字 节 数 时 应 首先 用 干净 系统 盘 启 动 。 

如 出 现 软件 运行 速度 变 慢 (磁盘 读 盘 速度 影响 除外 )、 输 出 端口 异常 等 现象 都 有 可 能 是 
病毒 造成 的 。 最 准确 的 方法 是 查看 中 断 向 量 及 引导 扇 区 是 否 被 无 故 改变 ， 这 就 需要 对 系统 
及 磁盘 格式 有 一 定 的 了 解 。 

常用 的 检测 病毒 方法 包括 特征 代码 法 、 校 验 和 法 、 行 为 监测 法 、 软 件 模拟 法 ， 这 些 方 
法 依据 的 原理 不 同 ， 实 现时 所 需 的 开销 不 同 ， 检 测 的 范围 也 不 同 ， 其 各 有 所 长 。 

(1) 特征 代码 法 。 

特征 代码 法 早期 被 应 用 于 SCAN、CPAYV 等 著名 病毒 检测 工具 中 。 国外 专家 认为 特征 代 
码 法 是 检测 已 知 病毒 的 最 简单 、 开 销 最 小 的 方法 。 

特征 代码 法 的 实现 步骤 如 下 : 采集 已 知 病毒 样本 , 病毒 如 果 既 感染 .com 文件 又 感染 .exe 
文件 ， 对 这 种 病毒 要 同时 采集 .com 型 病毒 样本 和 .exe 型 病毒 样本 。 在 病毒 样本 中 ， 抽 取 特 
征 代码 。 

依据 如 下 原则 : 抽取 的 代码 比较 特殊 ， 不 大 可 能 与 普通 正常 程序 代码 吻合 。 抽 取 的 代 
码 要 有 适当 长 度 ， 一 方面 维持 特征 代码 的 唯一 性 ， 另 一 方面 又 不 要 有 太 大 的 空间 与 时 间 的 
开销 。 如 果 一 种 病毒 的 特征 代码 增长 1 字 节 ， 要 检测 3000 种 病毒 ， 增 加 的 空间 就 是 3000 
字 节 。 在 保持 唯一 性 的 前 提 下 ， 尽 量 使 特征 代码 长 度 短 些 ， 以 减少 空间 与 时 间 的 开销 。 在 
既 感 染 .com 文件 又 感染 .exe 文件 的 病毒 样本 中 ， 要 抽取 两 种 样本 共有 的 代码 ， 将 特征 代码 
纳入 病毒 数据 库 中 。 

打开 被 检测 文件 , 在 文件 中 搜索 , 检查 文件 中 是 否 含有 病毒 数据 库 中 的 病毒 特征 代码 。 
如 果 发 现 病毒 特征 代码 ， 由 于 特征 代码 与 病毒 一 一 对 应 ， 便 可 以 断定 ， 被 查 文件 中 含有 何 
种 病毒 。 NA 
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采用 病毒 特征 代码 法 的 检测 工具 ， 面 对 不 断 出 现 的 新 病毒 ， 必 须 不 断 更 新 版 本 ， 否 则 
检测 工具 便 会 老化 ， 逐 渐 失 去 实用 价值 。 病 毒 特征 代码 法 对 从 未 见 过 的 新 病毒 ， 自 然 无 法 
知道 其 特征 代码 ， 因 而 无 法 去 检测 这 些 新 病毒 。 

特征 代码 法 检测 准确 快速 ， 可 识别 病毒 的 名 称 ， 误 报警 率 低 ， 依 据 检测 结果 ， 可 做 解 
毒 处 理 。 但 不 能 检测 未 知 病毒 、 需 搜集 已 知 病毒 的 特征 代码 、 费 用 开销 大 、 在 网 络 上 效率 
低 〈 在 网 络 服务 器 上 ， 因 长 时 间 检 索 会 使 整个 网 络 性 能 降低 ) 是 它 的 缺点 。 

(2) 校 验 和 法 。 

计算 正常 文件 内 容 的 校 验 和 ， 将 该 校 验 和 写 入 文件 中 或 写 入 别 的 文件 中 保存 。 在 文件 
使 用 过 程 中 ， 定 期 地 或 每 次 使 用 文件 前 ， 检 查 文 件 现在 内 容 算 出 的 校 验 和 与 原来 保存 的 校 
验 和 是 否 一 致 ， 因 而 可 以 发 现 文件 是 否 感 染 ， 这 种 方法 叫 校 验 和 法 ， 它 既 可 发 现 已 知 病毒 
又 可 发 现 未 知 病毒 。 在 SCAN 和 CPAV 工具 的 后 期 版 本 中 除了 病毒 特征 代码 法 之 外 ， 还 纳 
入 校 验 法 ， 以 提高 其 检测 能 力 。 

这 种 方法 不 能 识别 病毒 类 ， 不 能 报 出 病毒 名 称 。 由 于 病毒 感染 并 非 文 件 内 容 改 变 的 唯 
一 的 非 他 性 原因 ， 文 件 内 容 的 改变 有 可 能 是 正常 程序 引起 的 ， 所 以 校 验 和 法 常常 误 报警 。 
而 且 此 种 方法 也 会 影响 文件 的 运行 速度 。 

病毒 感染 的 确 会 引起 文件 内 容 变化 ， 但 是 校 验 和 法 对 文件 内 容 的 变化 太 敏感 ， 又 不 能 
区 分 正常 程序 引起 的 变动 ， 从 而 频繁 报警 。 用 监视 文件 的 校 验 和 来 检测 病毒 ， 不 是 最 好 的 
方法 

这 种 方法 遇 到 下 述 情况 : 已 有 软件 版 本 更 新 、 变 更 口令 、 修 改 运行 参数 ， 校 验 和 法 都 
会 误 报警 。 

校 验 和 法 对 隐蔽 性 病毒 无 效 。 隐 蔽 性 病毒 进驻 内 存 后 ， 会 自动 剥 去 染 毒 程序 中 的 病毒 
代码 ， 使 校 验 和 法 受骗 ， 对 一 个 有 毒 文 件 算出 正常 校 验 和 。 

校 验 和 法 简单 、 能 发 现 未 知 病毒 、 被 查 文件 的 细微 变化 也 能 发 现 。 但 发 布 通行 记录 正 
常态 的 校 验 和 、 会 误 报警 、 不 能 识别 病毒 名 称 、 不 能 对 付 隐 蔽 型 病毒 是 它 的 缺点 。 

(3) 行为 监测 法 。 

行为 监测 法 是 指 利用 病毒 的 特有 行为 特征 来 监测 病毒 的 方法 。 病 毒 有 一 些 共同 行为 ， 
而 且 比 较 特殊 。 在 正常 程序 中 ， 这 些 行为 比较 罕见 。 当 程序 运行 时 ， 监 视 其 行为 ， 如 果 发 
现 了 病毒 行为 ， 立 即 报警 。 

作为 监测 病毒 的 行为 特征 可 列举 如 下 : 

Q@ 占有 INT 13H 所 有 的 引导 型 病毒 ， 都 攻击 Boot 扇 区 或 主 引导 扇 区 。 系 统 启动 时 ， 
当 Boot 扇 区 或 主 引导 扇 区 获得 执行 权时 ,系统 刚刚 工作 。 一 般 引 导 型 病毒 都 会 占用 INT 13H 
功能 ， 因 为 其 他 系统 功能 未 设置 好 ， 无 法 利用 。 引 导 型 病毒 占据 INT 13H 功能 ， 在 其 中 放 
置 病毒 所 需 的 代码 。 

@ 修改 DOS 系统 为 数据 区 的 内 存 总 量 。 病毒 常 驻 内 存 后 , 为 了 防止 DOS 系统 将 其 覆 
盖 ， 必 须 修改 系统 内 存 总 量 。 

@ 运行 .com 或 .exe 文件 。 病 毒 要 感染 的 条 件 是 必须 运行 .com 或 .exe 文件 。 

@ 病毒 程序 与 原 主 程序 的 切换 。 染 毒 程序 运行 中 ， 先 运行 病毒 ， 然 后 运行 原 主 程序 。 


A er 有 许多 特征 行为 。 
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行为 监测 法 可 以 发 现 未 知 病毒 、 可 相当 准确 地 预报 未 知 的 多 数 病毒 。 可 能 误 报 警 、 不 
识别 病毒 名 称 、 实 现时 有 一 定 难 度 是 它 的 缺点 。 

(4) 软件 模拟 法 。 

用 来 检测 多 态 病毒 。 为 了 检测 多 态 病毒 ， 反 病毒 专家 研制 了 一 种 新 的 检测 方法 一 一 软 
件 模拟 法 。 它 是 一 种 软件 分 析 器 ， 在 机 器 的 虚拟 内 存 中 用 软件 方法 来 模拟 和 分 析 不 明 程 序 
的 运行 ， 而 且 程序 的 运行 不 会 对 系统 各 部 分 起 实际 的 作用 ， 因 而 不 会 对 系统 造成 危害 。 在 
执行 过 程 中 ， 从 虚拟 机 环境 内 截获 文件 数据 ， 如 果 含有 可 疑 病毒 代码 ， 则 杀毒 后 将 其 还 原 
到 原文 件 中 ， 从 而 实现 检测 多 态 病毒 。 

2. 计算 机 病毒 的 防范 

防范 是 对 付 计 算 机 病毒 的 积极 而 又 有 效 的 措施 ， 比 等 待 计算 机 病毒 出 现 之 后 再 去 扫描 
和 清除 能 更 有 效 地 保护 计算 机 系统 。 要 做 好 计算 机 病毒 的 防范 工作 ， 首 先是 防范 体系 和 制 
度 的 建立 ， 其 次 利用 反 病毒 软件 及 时 发 现 计算 机 病毒 侵入 ， 对 它 进行 监视 、 跟 踪 等 操作 ， 
并 采取 有 效 的 手段 阻止 它 的 传播 和 破坏 。 

老 一 代 的 反 病 毒 软件 只 能 对 计算 机 系统 提供 有 限 的 保护 ， 只 能 识别 出 已 知 的 计算 机 病 
毒 。 新 一 代 的 反 病 毒 软件 则 不 仅 能 识别 出 已 知 的 计算 机 病毒 ， 在 计算 机 病毒 运行 前 就 发 出 
警报 ， 还 能 屏蔽 掉 计 算 机 病毒 程序 的 传染 和 破坏 功能 ， 使 受 感染 的 程序 可 以 继续 运行 〈 即 
所 谓 的 带 毒 运行 )。 同 时 还 能 利用 计算 机 病毒 的 行为 特征 , 防范 未 知 计算 机 病毒 的 侵扰 和 破 
坏 。 另 外 ， 新 一 代 的 反 病 毒 软件 还 能 实现 超前 防御 ， 将 系统 中 可 能 被 计算 机 病毒 利用 的 资 
源 都 加 以 保护 ， 不 给 计算 机 病毒 可 乘 之 机 。 

计算 机 病毒 的 工作 方式 是 可 以 分 类 ， 反 病毒 软件 就 是 针对 已 归纳 总 结 出 的 这 几 类 计算 
机 病毒 工作 方式 来 进行 防范 的 。 当 被 分 析 过 的 已 知 计算 机 病毒 出 现时 ， 由 于 其 工作 方式 早 
已 被 记录 在 案 ， 反 病毒 软件 能 识别 出 来 ， 当 未 曾 被 分 析 过 的 计算 机 病毒 出 现时 ， 如 果 其 工 
作 方 式 仍 可 被 归 入 已 知 的 工作 方式 ， 则 这 种 计算 机 病毒 能 被 反 病 毒 软 件 所 捕获 。 这 也 是 采 
取 积 极 防御 措施 的 计算 机 病毒 防范 方法 优越 于 传统 方法 的 地 方 。 
当然 ， 如 果 新 出 现 的 计算 机 病毒 不 按 已 知 的 方式 工作 ， 这 种 新 的 传染 方式 又 不 能 被 反 
病毒 软件 所 识别 ， 那 么 反 病 毒 软件 也 无 能 为 力 了 。 

这 时 只 能 采取 两 种 措施 进行 保护 : 第 一 是 依靠 管理 上 的 措施 ， 及 早 发 现 疫情 ， 捕 捉 计 
算 机 病毒 ， 修 复 系统 。 第 二 是 选用 功能 更 加 完善 的 、 具 有 更 强 超前 防御 能 力 的 反 病 毒 软件 ， 
尽 可 能 多 地 堵 住 能 被 计算 机 病毒 利用 的 系统 漏洞 。 

对 于 病毒 ， 人 们 虽然 使 用 了 许多 种 反 病 毒 软件 ， 但 仍 经 常 受到 病毒 的 攻击 。 维 护 计算 
机 的 安全 是 一 项 漫长 的 过 程 。 

反 病 毒 软件 常用 以 下 几 种 反 病毒 技术 来 对 病毒 进行 预防 和 彻底 杀 除 。 

(1) 实时 监视 技术 。 

这 个 技术 为 计算 机 构筑 起 一 道 动 态 、 实 时 的 反 病毒 防线 ， 通 过 修改 操作 系统 ， 使 操作 
系统 本 身 具备 反 病 毒 功 能 。 时 刻 监视 系统 当中 的 病毒 活动 、 系 统 状 况 ， 时 刻 监视 软盘 、 光 
盘 、 互 联网 、 电 子 邮 件 上 的 病毒 传染 ， 将 病毒 阻止 在 操作 系统 外 部 。 优 秀 的 反 病毒 软件 由 
于 采用 了 与 操作 系统 的 底层 无 颖 连接 技术 ， 实 时 监视 器 占用 的 系统 资源 极 小， 用 户 一 方面 
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完全 感觉 不 到 对 机 器 性 能 的 影响 ， 一 方面 根本 不 用 考虑 病毒 的 问题 。 

只 要 反 病 毒 软件 实时 地 在 系统 中 工作 ， 病 毒 就 无 法 入 侵 我 们 的 计算 机 系统 。 可 以 保证 
反 病 毒 软件 只 需 一 次 安装 ， 今 后 计算 机 运行 的 每 一 秒 钟 都 会 执行 严格 的 反 病毒 检查 ， 使 互 
联网 、 光 盘 、 软 盘 等 途径 进入 计算 机 的 每 一 个 文件 都 安全 无 毒 ， 如 有 毒 则 自动 杀 除 。 

(2) 全 平台 反 病 毒 技术 。 

目前 病毒 活跃 的 平台 包括 Windows XP/ 2000/2003、UNIX 等 ， 为 了 反 病 毒 软件 做 到 与 
系统 的 底层 无 颖 连接 ， 可 靠 地 实时 检查 和 杀 除 病毒 ， 必 须 在 不 同 的 平台 上 使 用 相应 平台 的 
反 病 毒 软件 ， 如 用 的 是 Windows 的 平台 ， 则 必须 用 Windows 版 本 的 反 毒 软件 。 如 果 是 企业 
网 络 ， 什 么 版 本 的 平台 都 有 ， 那 么 就 要 在 网 络 的 每 一 个 Server、Client 端 上 安装 Windows 
XP/2000/2003、UNIX 等 平台 的 反 病 毒 软件 ,每 一 个 点 上 都 安装 相应 的 反 病 毒 模块 ， 每 一 个 
点 上 都 能 实时 地 抵御 病毒 攻击 。 只 有 这 样 ， 才 能 作 到 网 络 的 真正 安全 和 可 靠 。 


7.2 ”网络 病毒 的 防范 和 和 清除 


按照 计算 机 病毒 的 传播 媒介 来 分 类 ， 可 分 为 单机 病毒 和 网 络 病毒 。 

单机 病毒 就 是 以 前 的 DOS 病毒 、Windows 病毒 和 能 在 多 操作 系统 下 运行 的 宏 病 毒 。 单 
机 病毒 的 载体 是 磁盘 ， 常 见 的 是 病毒 从 软盘 传 入 硬盘 ， 感 染 系统 ， 然 后 再 传染 其 他 软盘 ， 
软盘 又 传染 其 他 系统 。 

网 络 病毒 通过 计算 机 网 络 传播 感染 网 络 中 的 可 执行 文件 ， 它 的 传播 媒介 不 再 是 移动 式 
载体 ， 而 是 网 络 通道 ， 这 种 病毒 的 传染 能 力 更 强 ， 破 坏 力 更 大 。 

1. 网 络 病毒 的 防范 措施 

相对 于 单机 病毒 的 防护 来 说 网 络 病毒 的 防范 具有 更 大 的 难度 ， 网 络 病毒 的 防范 应 与 网 
络 管理 集成 。 网 络 防 病毒 的 最 大 优势 在 于 网 络 的 管理 功能 ， 如 果 没 有 把 管理 功能 加 上 ， 很 
难 完成 网 络 防毒 的 任务 ， 只 有 管理 与 防范 相 结合 ， 才 能 保证 系统 的 良好 运行 。 管 理 功能 就 
是 管理 全 部 的 网 络 设备 与 操作 ， 从 Hub、 交 换 机 、 服 务 器 到 PC， 包 括 软盘 的 存 取 、 局 域 网 
上 的 信息 互通 与 Intemet 的 接 驳 等 所 有 病毒 能 够 感染 和 传播 的 途径 。 

在 网 络 环境 下 ， 病 毒 传播 扩散 快 ， 仅 用 单机 反 病 毒 产 品 已 经 难以 清除 网 络 病毒 ， 必 须 
有 适用 于 局 域 网 、 广 域 网 的 全 方位 反 病 毒 产 品 。 

在 选用 反 病毒 软件 时 ， 应 选择 对 病毒 具有 实时 监控 能 力 的 软件 ， 这 类 软件 可 以 在 第 一 
时 间 阻 止 病毒 感染 ， 而 不 是 靠 事后 去 杀毒 。 要 养 成 定期 升级 防 病毒 软件 的 习惯 ， 并且 间隔 
时 间 不 要 太 长 ， 因 为 绝 大 部 分 反 病 毒 软件 的 查 毒 技 术 都 是 基于 病毒 特征 码 的 ， 即 通过 对 已 
知 病毒 提取 其 特征 码 ， 并 以 此 来 查 杀 同 种 病毒 。 对 于 每 天 都 可 能 出 现 的 新 病毒 ， 反 病毒 软 
件 会 不 断 更 新 其 特征 码 数据 库 。 
要 养 成 定期 扫描 文件 系统 的 习惯 ， 对 移动 硬盘 、 光 盘 等 移动 存储 介质 ， 在 使 用 之 前 应 
进行 查 毒 ， 对 于 从 网 上 下 载 的 文件 和 电子 邮件 附件 中 的 文件 ， 在 打开 之 前 也 要 先 杀 毒 。 另 

外 ， 由 于 防 病毒 软件 总 是 滞后 于 病毒 ， 因 此 它 通常 不 能 发 现 一 些 新 的 病毒 。 因 此 ， 不 能 只 
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依靠 防 病毒 软件 来 保护 系统 。 在 使 用 计算 机 时 ， 还 应 当 注意 以 下 几 点 。 

(1) 不 使 用 或 下 载 来 源 不 明 的 软件 。 

(2) 不 轻易 上 一 些 不 正规 的 网 站 。 

(3) 提防 电子 邮件 病毒 的 传播 。 一 些 邮 件 病毒 会 利用 ActiveX 控件 技术 ， 当 以 HIML 
方式 打开 邮件 时 ， 病 毒 可 能 就 会 被 激活 。 

(4) 经 常 关注 一 些 网 站 、 论 坛 发 布 的 病毒 报告 ， 这 样 可 以 在 未 感染 病毒 时 做 到 预先 
防范 。 

(5) 及 时 更 新 操作 系统 ， 为 系统 漏洞 打上 补丁 。 

(6) 重要 数据 、 文 件 要 定期 备份 。 

2， 网 络 病毒 的 清 杀 

一 且 在 网 络 上 发 现 病毒 ， 应 设法 立即 清除 ， 其 操作 步骤 如 下 。 

(1) 立即 通知 所 有 用 户 下 网 ， 关 闭 文件 服务 器 。 

(2) 用 带 有 写 保护 的 、 干 净 的 系统 盘 启 动 系 统管 理 员 工作 站 ， 并 立即 清除 本 机 病毒 。 

(3) 用 带 有 写 保护 的 、 干净 的 系统 盘 启 动 文件 服务 器 。 系 统管 理 员 登录 并 下 命令 禁止 
其 他 用 户 登录 。 

(4) 将 文件 服务 器 硬盘 中 的 重要 资料 备份 。 但 严禁 执行 硬盘 上 的 程序 和 在 硬盘 中 复制 
文件 ， 以 免 破坏 被 病毒 搞 乱 的 硬盘 数据 结构 。 

(5) 用 杀毒 软件 扫描 服务 器 上 所 有 的 文件 ， 恢 复 或 删除 被 病毒 感染 的 文件 ,重新 安装 
被 删除 的 文件 。 

(6) 用 杀毒 软件 扫描 并 清除 所 有 可 能 染 上 病毒 的 移动 盘 或 备份 文件 中 的 病毒 。 

(7) 用 杀毒 软件 扫描 并 清除 所 有 的 有 盘 工 作 站 硬盘 上 的 病毒 。 

(8) 在 确信 病毒 已 经 彻底 清除 后 ， 重 新 启动 网 络 和 工作 站 。 


7.3 典型 网 络 病毒 的 介 绝 


7.3.1 宏 病 毒 

1， 宏 病毒 的 定义 

宏 病毒 是 一 种 寄存 在 文档 或 模板 的 宏 中 的 计算 机 病毒 。 一 旦 打开 这 样 的 文档 ， 其 中 的 
宏 就 会 被 执行 ， 于 是 宏 病 毒 就 会 被 激活 ， 转 移 到 计算 机 上 ， 并 驻 留 在 Normal 模板 上 。 从 此 
以 后 ， 所 有 自动 保存 的 文档 都 会 “感染 ”上 这 种 宏 病毒 ， 而 且 如 果 其 他 用 户 打开 了 感染 病 
毒 的 文档 ， 宏 病毒 又 会 转移 到 他 的 计算 机 上 。 

所 谓 宏 ， 就 是 一 些 命令 组 织 在 一 起 ， 作 为 一 个 单独 命令 完成 一 个 特定 任务 。Microsoft 
Word 中 将 宏 定义 为 :“ 宏 就 是 能 组 织 到 一 起 作为 一 独立 的 命令 使 用 的 一 系列 Word 命令 ， 
它 能 使 日 常 工作 变 得 更 容易 . ”Word 使 用 宏 语言 WordBasic 将 宏 作为 一 系列 指令 来 编写 。 

大 病毒 是 针对 微软 公司 的 Office 办 公 软件 编写 的 一 种 病毒 。 微 软 公司 的 Office 办 公 软 。，， 
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件 是 最 为 流行 的 编辑 软件 ， 并 且 跨 越 了 多 种 系统 平台 ， 宏 病毒 充分 利用 了 这 一 点 得 到 广泛 
传播 。 宏 病毒 作为 一 种 新 型 病毒 有 其 特点 与 共性 。 

2. 宏 病毒 的 特征 

宏 病 毒 具 有 以 下 特征 。 

(1) 传播 极 快 。 

Word 宏 病 毒 通过 .doc 文档 及 .dot 模板 进行 自我 复制 及 传播 ， 而 计算 机 文档 是 交流 最 广 
的 文件 类 型 。 人 们 大 多 重视 保护 自己 计算 机 的 引导 部 分 和 可 执行 文件 不 被 病毒 感染 ， 而 对 
外 来 的 文档 文件 基本 是 直接 浏览 使 用 , 这 给 Word 宏 病 毒 传播 带 来 很 多 便利 .特别 是 Intemet 
的 普及 ，E-mail 的 大 量 应 用 更 为 Word 宏 病 毒 传播 铺 平 道 路 。 根 据 国 外 较 保 守 的 统计 ， 宏 
病毒 的 感染 率 高 达 40% 以 上 , 即 在 现实 生活 中 每 发 现 100 个 病毒 , 其 中 就 有 40 多 个 宏 病毒 ， 
而 国际 上 普通 病毒 种 类 已 达 12000 多 种 。 

(2) 制作 、 变 种 方便 。 

以 往 病毒 是 以 二 进 制 的 计算 机 机 器 码 形式 出 现 ， 而 宏 病毒 则 是 以 人 们 容易 阅读 的 源 代 
码 宏 语 言 WordBasic 形式 出 现 ， 所 以 编写 和 修改 宏 病毒 比 以 往 更 容易 。 世 界 上 的 宏 病毒 原 
型 已 有 几 十 种 ， 其 变种 与 日 俱 增 , 追究 其 原因 还 是 Word 的 开放 性 所 致 。 现 在 的 Word 病毒 
都 是 用 WordBasic 语言 所 写成 ， 大 部 分 Word 宏 病 毒 并 没有 使 用 Word 提供 的 Execute-Only 
处 理 函数 处 理 ， 它 们 仍 处 于 可 打开 阅读 、 修 改 状态 。 所 有 用 户 在 Word 工具 的 宏 菜 单 中 很 
方便 就 可 以 看 到 这 种 宏 病 毒 的 全 部 面目 。 当 然 会 有 “不 法 之 徒 ” 利 用 掌握 的 Basic 语句 简 
单 知 识 把 其 中 的 病毒 激活 条 件 和 破坏 条 件 加 以 改变 ， 立 即 就 生产 出 了 一 种 新 的 宏 病 毒 ， 甚 
至 比 原 病毒 的 危害 更 加 严重 。 

(3) 破坏 可 能 性 极 大 。 

鉴于 宏 病 毒 用 WordBasic 语言 编写 ，WordBasic 语言 提供 了 许多 系统 级 底层 调用 , 如 直 
接 使 用 DOS 系统 命令 、 调 用 WindowsAPI、 调 用 DDE 或 DLL 等 。 这 些 操作 均 可 能 对 系统 
直接 构成 威胁 ， 而 Word 在 指令 安全 性 、 完 整 性 上 检测 能 力 很 弱 ， 破 坏 系 统 的 指令 很 容易 
被 执行 。 宏 病毒 Nuclear 就 是 破坏 操作 系统 的 典型 一 例 。 

(4) 多 平台 交叉 感染 。 

宏 病毒 冲破 了 以 往 病毒 在 单一 平台 上 传播 的 局 限 ， 当 Word、Excel 这 类 著名 应 用 软件 
在 不 同 平台 (如 Windows、Windows NT、OS/2 和 Macintosh 等 ) 上 运行 时 ， 会 被 宏 病毒 交 
叉 感染 。 

3. 宏 病 毒 的 防范 和 清除 

宏 病 毒 的 防治 和 清除 方法 如 下 。 

(1) 使 用 “提示 保存 Normal 模板 ”选项 。 
(2) 不 要 通过 Shift 键 来 禁止 运行 自动 宏 。 
(3) 查看 宏 代码 并 删除 。 

(4) 使 用 Disable Auto Macros 宏 。 

(5) 设置 Normal.dot 的 只 读 属 性 。 

(6) Normal.dot 的 密码 保护 。 


高 等 职 教育 “十 二 五 " 规划 教材 


7.3.2 ”电子 邮件 病毒 


风靡 全 球 的 “美丽 莎 ”(Melissa)、Papa 和 HAPPY99 等 计算 机 病毒 正 是 通过 电子 邮件 
的 方式 进行 传播 、 扩 散 的 ， 其 结果 是 导致 邮件 服务 器 瘫痪 、 用 户 信息 和 重要 文档 泄密 、 无 
法 收发 E-mail， 给 个 人 、 企 业 和 政府 部 门 造成 了 严重 的 损失 。 为 此 有 必要 介绍 一 下 电子 邮 
件 计算 机 病毒 。 
电子 邮件 计算 机 病毒 实际 上 并 不 是 一 类 单独 的 计算 机 病毒 ， 严 格 地 说 它 应 该 划 入 到 文 
件 型 计算 机 病毒 及 宏 病 毒 中 去 ， 只 不 过 由 于 这 些 病毒 采用 了 独特 的 电子 邮件 传输 方式 (其 
中 不 少 种 类 还 专门 针对 电子 邮件 的 传播 方式 进行 了 优化 ), 因此 我 们 习惯 于 将 它们 称 为 电子 
邮件 病毒 。 

所 谓 电 子 邮 件 病毒 就 是 以 电子 邮件 作为 传播 途径 的 计算 机 病毒 ， 实 际 上 该 类 病毒 和 普 
通 的 病毒 一 样 ， 只 不 过 是 传播 方式 改变 而 已 。 该 类 计算 机 病毒 的 特点 包括 以 下 几 方 面 。 

(1) 电子 邮件 本 身 是 无 毒 的 ， 但 它 的 内 容 中 可 以 有 UNIX 下 的 特殊 的 换 码 序列 ， 就 是 
通常 所 说 的 ANSI 字 符 ， 当 用 UNIX 智能 终端 上 网 查看 电子 邮件 时 ， 有 被 侵入 的 可 能 。 

(2) 电子 邮件 可 以 夹带 任何 类 型 的 文件 作为 附件 (Attachment)， 附 件 文件 可 能 带 有 

(3) 可 利用 某 些 电子 邮件 收发 器 特有 的 扩充 功能 ， 比 如 Outlook/Outlook Express 能 够 
执行 VBA 指令 编写 的 宏 ， 在 电子 邮件 中 夹带 有 针对 性 的 代码 ， 利 用 电子 邮件 进行 传染 、 
扩散 。 

(4) 超大 的 电子 邮件 或 电子 邮件 炸弹 也 可 以 被 认为 是 一 种 电子 邮件 计算 机 病毒 ， 它 能 
够 影响 邮件 服务 器 的 正常 服务 功能 。 

通常 对 付 电 子 邮 件 计 算 机 病毒 ， 只 要 删除 携带 电子 邮件 计算 机 病毒 的 信件 就 能 够 删除 
它 。 但 是 大 多 数 的 电子 邮件 计算 机 病毒 一 被 接收 到 客户 端 时 就 开始 发 作 了 ， 基 本 上 没有 洪 
伏 期 。 所 以 预防 电子 邮件 计算 机 病毒 是 至 关 重要 的 。 以 下 是 一 些 常 用 的 预防 电子 邮件 计算 
机 病毒 的 方法 。 

(1) 及 时 下 载 安装 操作 系统 的 漏洞 补丁 程序 ， 同 时 也 要 关注 热门 第 三 方 应 用 软件 的 漏 
洞 更 新 。 

(2) 及 时 升级 计算 机 系统 中 防 病毒 软件 和 防火 墙 。 

(3) 不 要 随意 单 击 或 运行 通过 QQ、MSN、 电 子 邮件 发 来 的 陌生 链接 地 址 或 文件 。 

(4) 提高 自己 私密 性 数据 的 安全 ， 最 好 经 常 更 换 或 是 设置 比较 复杂 的 账户 密码 。 

对 付 电 子 邮 件 计算 机 病毒 ， 还 可 以 在 计算 机 上 安装 有 电子 邮件 实时 监控 功能 的 防 杀 计 
算 机 病毒 软件 。 有 条 件 的 还 可 以 在 电子 邮件 服务 器 上 安装 服务 器 版 电子 邮件 计算 机 病毒 防 
护 软件 ， 从 外 部 切断 电子 邮件 计算 机 病毒 的 入 侵 途 径 ， 确 保 整 个 网 络 的 安全 。 


7.3.3 ”网 络 病毒 实例 


1， 电子 邮件 炸弹 
电子 邮件 炸弹 是 指 发 件 者 以 不 明 来 历 的 电子 邮件 地 址 ， 不 断 重 复 地 将 电子 邮件 发 送 给 、v / 
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同一 个 人 。 由 于 其 情况 就 像 是 战争 时 利用 某 种 战争 工具 对 同一 个 地 方 进行 大 雄 炸 ， 因 此 称 
为 电子 邮件 炸弹 。 

电子 邮件 炸弹 之 所 以 可 怕 ， 是 因为 它 可 以 大 量 消耗 网 络 资源 。 一 般 网 络 用 户 E-mail 信 
箱 的 容量 都 是 有 限 的 ， 如 果 你 在 短 时 间 内 收 到 上 千 个 电子 邮件 ， 而 每 个 电子 邮件 又 占据 了 
一 定 的 容量 ， 一 个 电子 邮件 炸弹 的 总 容量 很 容易 就 超过 用 户 的 E-mail 信箱 所 能 够 承受 的 负 
荷 。 在 这 样 的 情况 下 ， 用 户 的 电子 邮箱 不 仅 不 能 再 接收 其 他 人 发 送 来 的 电子 邮件 ， 也 随时 
会 因为 “超载 ”而 导致 整个 计算 机 瘫痪 。 

没有 人 知道 自己 什么 时 候 会 碰 到 电子 邮件 炸弹 ， 所 以 采取 防范 措施 是 必要 的 ， 比 较 有 
效 的 防御 方式 是 ， 用 户 可 以 在 电子 邮件 中 安装 一 个 过 滤器 ， 在 接收 任何 电子 邮件 之 前 预先 
检查 发 件 人 的 资料 ， 如 果 觉 得 有 可 疑 之 处 ， 可 以 将 它 删 除 ， 不 让 它 进入 你 的 电子 邮箱 。 

2， 恶意 网 页 

(1) 恶意 网 页 的 原理 。 

对 于 恶意 网 页 ， 常常 采取 VBScript 和 JavaScript 编程 的 形式 ， 由 于 编程 方式 十 分 简单 ， 
所 以 在 网 上 非常 流行 .VBScript 和 JavaScript 是 由 微软 操作 系统 的 WSH (Windows Scripting 
Host，Windows 脚本 主机 ) 解析 并 执行 的 ， 由 于 其 编程 非常 简单 ， 所 以 此 类 脚本 病毒 在 网 
上 疯狂 传播 ， 疯 狂 一 时 的 “ 爱 虫 ”病毒 就 是 一 种 VBScript 脚本 病毒 ， 然 后 伪装 成 邮件 附件 
诱惑 用 户 单 击 运 行 ， 更 为 可 怕 的 是 ， 这 样 的 病毒 是 以 源 代码 的 形式 出 现 的 ， 只 要 懂得 一 点 
关于 脚本 编程 的 人 就 可 以 修改 其 代码 ， 形 成 各 种 各 样 的 变种 。 例 如 : 


Set objFs=CreateObject 

(“Scripting.FileSystem Object7) // 创 建 一 个 文件 系统 对 象 

objFs.CreateTextFile(“‘C:\simple.txt"”,1) // 通 过 文件 系统 对 象 的 方法 创建 了 TXT 文件 

如 果 我 们 把 这 句 话 保存 为 .vbs 的 VB 脚本 文件 , 单 击 它 就 会 在 C 盘 中 创建 一 个 TXT 文 
件 了 。 


倘若 我 们 把 第 二 句 改 为 : objFs.GetFile(Wscript.ScriptFullName)Copy(“C:\simple.vbs”)， 
就 可 以 将 自身 复制 到 C 盘 simple.vbs 这 个 文件 中 。 本 句 前 面 是 打开 这 个 脚本 文件 ， 
Wscript.ScriptFullName 指明 是 这 个 程序 本 身 ， 是 一 个 完整 的 路 径 文件 名 。GetFile 函数 获得 
这 个 文件 ，Copy 函数 将 这 个 文件 复制 到 C 盘 根 目录 下 simple.vbs 这 个 文件 中 。 这 么 简单 的 
两 句 代码 就 实现 了 自我 复制 的 功能 ， 它 已 经 具备 病毒 的 基本 特征 一 一 自我 复制 能 

此 类 病毒 往往 是 通过 邮件 传播 的 。 在 VBScript 中 调用 邮件 发 送 功能 也 非常 简单 ， 病 毒 
往往 采用 的 方法 是 向 Outlook 的 地 址 舌 中 的 邮件 地 址 发 送 带 有 包含 自身 的 邮件 来 达到 传播 
的 目的 ， 此 类 病毒 的 变种 繁多 ， 破 坏 力 极 大 ， 同 时 也 是 非常 难以 根除 的 。 

(2) 恶意 网 页 的 预防 。 

@ 禁用 WSH (Windows Scripting Host)。WSH 运行 各 种 类 型 的 文本 ， 但 基本 都 是 
VBScript 或 JavaScript。WSH 在 文本 语言 之 间 充 当 翻 译 的 角色 ， 该 语言 可 能 支持 
ActiveXScripting 界面 ，WSH 运行 各 种 类 型 的 文本 ， 但 基本 都 是 VBScript 或 JavaScript。 


三 WSH 在 文本 语言 之 间 充 当 翻译 的 角色 ,该 语言 支持 ActiveXScripting 界面 , 包括 VBScript、 
/ 
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JavaScript、Perl 及 所 有 Windows 操作 的 功能 ， 如 访问 文件 夹 、 文 件 快捷 方式 、 网 络 接 入 和 
Windows 注册 等 。 许多 病毒 或 蠕虫 就 是 使 用 WSH 入 侵 到 主机 。 禁 用 WSH 的 方法 是 : 在 正 
窗口 中 选择 “工具 ”一 “Internet 选项 ”命令 ， 在 弹出 的 对 话 框 中 选择 “安全 ”选项 卡 ， 再 
单 击 “ 自 定义 级 别 ” 按 钮 ， 就 会 弹出 “安全 设置 ”对 话 框 ， 把 其 中 所 有 ActiveX 插件 和 控 
件 以 及 与 Java 相关 的 全 部 选项 设 为 “禁用 ”。 但 是 ， 这 样 做 在 以 后 的 网 页 浏览 过 程 中 有 可 
能 会 使 一 些 正 常 应 用 ActiveX 的 网 站 无 法 浏览 。 

@ 不 要 轻易 去 访问 陌生 的 站 点 ， 有 可 能 里 面 就 含有 恶意 代码 。 因 为 这 一 类 网 页 主要 是 
含有 恶意 代码 的 ActiveX 或 Applet、JavaScript 的 网 页 文件 , 所 以 在 正 设置 中 将 ActiveX 插 
件 和 控件 、Java 脚本 等 全 部 禁止 就 可 以 大 大 减少 被 网 页 恶意 代码 感染 的 机 率 。 其 方法 是 : 
当 运 行 理 时， 选择“ 工具 ”一 “Intermet 选项 ”一 “安全 ”一 “Intemet 区 域 的 安全 级 别 ” 
选项 ， 把 安全 级 别 由 “中 ” 改 为 “高 ”。 

@ 不 随意 查看 陌生 邮件 ， 尤 其 是 带 有 附件 的 邮件 。 因 为 Windows 人 允许 文件 名 使 用 多 
个 后 级， 而 电子 邮件 一 般 只 显示 第 一 个 后 级 ， 如 .jpg， 而 该 文件 可 能 是 .jpg.vbs， 打 开 这 个 
文件 可 能 意味 着 运行 一 个 恶意 的 VBScript 病毒 ， 而 不 是 .jpg 查看 器 。 病 毒 邮件 能 够 利用 下 
和 Outlook 的 漏洞 自动 执行 ， 所 以 计算 机 用 户 需要 升级 下 和 Outlook 程序 及 常用 的 其 他 应 
用 程序 。 

@ 安装 防 病毒 产品 并 保证 更 新 最 新 的 病毒 特征 码 。 首 次 安装 病毒 软件 时 , 一 定 要 对 机 
器 做 一 次 彻底 扫描 ， 以 确保 它 未 受到 过 病毒 的 感染 ， 并 且 用 户 应 当 及 时 更 新 病毒 库 。 


7.4 常用 东 毒 多 件 的 介绍 


随 着 世界 范围 内 计算 机 病毒 的 大 量 流行 ， 新 的 病毒 不 断 出 现 ， 各 种 反 病毒 软件 产品 也 
在 不 断 地 推陈出新 、 更 新 换代 。 这 些 产 品 的 特点 表现 为 技术 领先 、 误 报 率 低 、 杀 毒 效果 明 
显 、 界 面 友好 、 良 好 的 升级 和 售后 服务 技术 支持 、 与 各 种 软 硬 件 平台 兼容 性 好 等 方面 。 常 
用 的 国产 反 病 毒 软件 有 瑞星 杀毒 软件 2012、 金 山 杀毒 软件 、 江 民 杀 毒 软件 KV2012 等 。 


7.4.1 瑞星 杀毒 软件 


瑞星 杀毒 软件 2012， 是 北京 瑞星 科技 股份 有 限 公 司 采用 最 新 技术 开发 的 新 一 代 信息 安 
全 产品 。 以 变频 杀毒 引擎 为 核心 ， 通 过 变频 技术 使 计算 机 得 到 安全 保证 的 同时 ， 又 大 大 降 
低 资源 占用 , 让 计算 机 更 加 轻便 。 同 时 , 瑞星 2012 版 应 用 “瑞星 云 安 全 +” 技 术 、“ 云 查 杀 ”、 
“网 购 保护 ”“ 智 能、 安全 上 网 ”和 智能 反 钓鱼 等 技术 ， 保 护 网 购 、 网 游 、 微 博 、 办 公 等 
常见 应 用 面临 的 各 种 安全 问题 ， 通 过 友善 易 用 的 界面 和 更 小 的 资源 占用 为 用 户 提供 全 新 安 
全 软件 体验 。 

瑞星 杀毒 软件 2012 具体 的 功能 如 下 。 

(1) 瑞星 变频 杀毒 技术 : 智能 检测 计算 机 资源 占用 , 自动 分 配 杀毒 时 占用 的 系统 资源 ， 
既 保障 计算 机 正常 使 用 ， 又 保证 计算 机 安全 。 
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(2) 瑞星 “ 云 查 杀 ” 技 术 : 大 大 降低 了 对 用 户 计算 机 资源 的 占用 , 杀毒 速度 快速 提升 ， 
无 须 升级 即 可 查 杀 最 新 病毒 。 

(3) 网 购 保护 :在 用 户 进行 网 上 购物 、 支 付 、 访 问 网 银 等 操作 时 自动 进行 保护 ， 防 止 
黑客 、 木 马 病毒 等 问题 对 用 户 网 上 银行 财产 产生 威胁 ， 确 保 网 购 安 全 。 

(4) 智能 、 安 全 上 网 : 通过 智能 反 钓鱼 、 安 全 搜索 、 木 马 下 载 拦截 、 家 长 控制 、ADSL 
带宽 管家 等 大 量 新 增 功能 ， 保 证 用 户 安全 上 网 、 绿 色 上 网 、 智 能 上 网 。 

(5) 体积 小 、 资 源 小 、 高 效 升级 : 安装 包 体积 小 、 杀 毒 速 度 快速 提升 、 对 系统 影响 小 ， 
升级 时 只 下 载 几 KB 的 文件 ， 减 小 带宽 占用 。 

瑞星 杀毒 软件 2012 具有 5 大 高 效 杀 毒 技 术 ， 分 别 介绍 如 下 。 

(1) 瑞星 变频 杀毒 技术 : 智能 检测 计算 机 资源 占用 , 自动 分 配 杀 毒 时 占用 的 系统 资源 ， 
既 保障 电脑 正常 使 用 ， 又 保证 电脑 安全 。 

(2) 瑞星 “ 云 查 杀 ” 技 术 : 大 大 降低 用 户 计算 机 资源 占用 ， 杀 毒 速度 快速 提升 ， 无 须 
升级 即 可 查 杀 最 新 病毒 。 

(3) 高 性 能 的 反 病 毒 虚拟 机 技术 : 快速 准确 查 杀 未 知 木 马 、 未 知 病毒 。 

(4) 高 性 能 的 木马 病毒 检测 技术 : 查 杀 病毒 时 对 系统 资源 占用 小 ， 速 度 大 幅度 提升 。 

(5) 启发 式 病毒 检测 技术 : 准确 查 杀 最 新 未 知 木马 、 病 毒 ， 有 效 解决 采用 最 新 技术 的 
恶性 病毒 破坏 系统 。 


7.4.2 ”金山 杀毒 软件 


金山 公司 是 国内 著名 的 软件 公司 ， 其 开发 的 金山 毒霸 对 查 毒 速 度 做 了 优化 ， 可 以 快速 、 
彻底 地 查 杀 多 种 流行 病毒 。 

金山 毒霸 2012 极速 轻巧 , 安装 包 不 到 20MB, 内 存 占用 只 有 19MB, 首次 扫描 仅 4 分钟， 
3 分 钟 消灭 活 木 马 ， 扫 描 速度 每 秒 可 达 134 个 文件 。 配合 中 国 互联 网 最 大 云 安 全 体系 ，100% 
鉴定 文件 是 病毒 还 是 正常 文件 。 强 大 的 自动 分 析 鉴 定 体系 使 互联 网 上 95% 的 新 未 知 文件 ， 在 
60 秒 内 即 返回 鉴定 结果 。 应 用 精确 样本 收集 技术 更 使 文件 鉴定 准确 率 达 到 了 99% 以 上 。 

金山 毒霸 2012 技术 亮点 如 下 。 

(1) 可 信 云 查 杀 : 增强 互联 网 可 信 认 证 , 海量 样本 自动 分 析 鉴 定 ， 极 速 匹配 查询 ， 中 
国 最 大 云 安 全 ，100% 识 别 率 ， 互 联网 95% 的 新 文件 与 未 知 文件 60 秒 返 回 鉴定 结果 。 

(2) 蓝 芯 工 云 引擎 (BlueChipH CLOUD): 微 特征 识别 (启发 式 查 杀 2.0)， 将 新 病 
毒 扼 杀 于 摇篮 中 ， 针 对 类 型 病毒 具有 不 同 的 算法 ， 减 少 资源 占用 ， 多 模式 快速 扫描 匹配 技 
术 ， 超 快 样本 匹配 。 

(3) 白 名 单 优先 技术 : 准确 标记 用 户 计 算 机 所 有 安全 文件 ， 无 须 逐 一 比 对 病毒 库 ， 大 
大 提高 了 效率 ， 双 库 双 引擎 ， 首 家 在 杀毒 软件 中 内 置 安全 文件 库 , 与 可 信 云 安全 紧密 结合 ， 
安全 少 误杀 。 

(4) 个 性 功能 体验 : 下 载 保 护 、 聊 天 软件 保护 、U 盘 病 毒 免疫 防御 、 文 件 粉碎 机 、 自 
定义 安全 区 、 提 升 性 能 、 可 定制 的 免 打 扰 模 式 、 自 动 调节 资源 占用 、 针 对 笔记 本 电源 优化 
使 续航 更 久 。 
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7.4.3 江 民 杀毒 软件 


江 民 杀毒 软件 KV2012 是 全 功能 专业 安全 软件 ， 全 面 融 合 杀毒 软件 、 防 火 墙 、 安 全 检 
测 、 漏 洞 修复 等 核心 安全 功能 为 有 机 整体 ， 打 破 杀 毒 软件 、 防 火 墙 等 专业 软件 各 司 其 职 的 
界限 ， 为 个 人 计算 机 用 户 提供 了 全 面 的 安全 防护 。 

江 民 杀毒 软件 KV2012 秉承 了 江 民 杀毒 软件 一 贯 的 尖端 杀毒 技术 ， 更 在 易 用 性 、 人 性 
化 、 资 源 占用 方面 取得 了 突破 性 进展 。 具 有 9 大 特色 功能 和 3 大 创新 安全 防护 ， 可 以 有 效 
防御 各 种 已 知 和 未 知 病毒 、 黑 客 木马 ， 保 障 计 算 机 用 户 网 上 银行 、 网 上 证 券 、 网 上 购物 等 
网 上 财产 的 安全 ， 杜 绝 各 种 木马 病毒 窃取 用 户 账号 、 密 码 。 

增强 功能 的 江 民 安全 专家 ， 可 以 为 系统 优化 加 速 ， 并 可 迅速 扫描 和 查 杀 流行 木马 ， 清 
除 流氓 软件 和 恶意 插件 。 其 安全 检测 以 及 深层 Rootkit 隐藏 病毒 扫描 功能 ， 可 以 发 现 普通 安 
全 软件 无 法 查 出 的 深层 安全 隐患 ， 进 一 步 加固 计 算 机 系统 的 安全 防线 。 


本 年 小 人 圣 


计算 机 病毒 指 编制 的 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 的 数据 、 影 响 计算 机 
使 用 并 且 能 够 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 ， 有 具有 传染 性 、 潜 伏 性 、 触 发 性 和 
破坏 性 。 计 算 机 病毒 可 归纳 为 引导 型 病毒 、 可 执行 文件 病毒 、 宏 病毒 、 混 合 型 病毒 、 特 洛 
伊 木 马 型 病毒 和 Web 网 页 病毒 6 种 类 型 。 

最 后 简单 介绍 了 网 络 病毒 的 检测 、 防 范 和 清 杀 方法 以 及 常用 的 反 病毒 软件 , 如 瑞星 2012 
杀毒 软件 、 金 山 杀毒 软件 和 江 民 杀毒 软件 KV2012。 


习 通 


六 填空 题 


1. 计算 机 病毒 的 特征 包括 y 8 
2. 计算 机 病毒 可 分 为 S 和 
6 种 类 型 。 

3. 按照 计算 机 病毒 的 传播 媒介 来 分 类 ， 可 分 为 病毒 和 病毒 。 

4. 网 络 反 病 毒 技 术 主要 有 3 种 ， 它 们 是 预防 病毒 技术 、 病毒 技术 和 清除 病毒 
技术 。 


二 、 选 择 题 
1. 计算 机 病毒 是 。 
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D. 隐藏 性 


A. 一 种 程序 B. 传染 病 病 毒 
C. 一 种 计算 机 硬件 D. 计算 机 系统 软件 
2. 下 列 不 属于 计算 机 病毒 特性 的 是 
A. 传染 性 B. 突 发 性 C. 可 预见 性 
3. 计算 机 病毒 ; 
A. 都 具有 破坏 性 B. 有 些 无 破坏 性 
C. 都 破坏 .exe 文件 D. 不 破坏 数据 ， 只 破坏 文件 
4. 计算 机 病毒 
A. 是 生产 计算 机 硬件 时 不 注意 产生 的 B. 都 是 人 为 制造 的 
C. 都 必须 清除 计算 机 才能 使 用 D. 有 可 能 是 人 们 无 意 中 制造 的 
5. 计算 机 病毒 
A. 破坏 都 是 巨大 的 B. 都 具有 可 知性 
C. 只 破坏 计算 机 软件 D. 是 可 预防 的 
三 、 简 答题 
1. 什么 是 计算 机 病毒 ? 
2. 计算 机 病毒 的 特征 是 什么 ? 
3. 计算 机 病毒 可 以 分 为 哪 几 类 ? 
4. 简 述 网 络 病毒 的 清除 方法 。 
5. 计算 机 网 络 病毒 的 预防 有 哪儿 个 方面 ? 
6. 简 述 计算 机 网 络 病毒 的 防治 措施 。 
本 和 半 实 训 


实 训 ”UU 盘 病 毒 工作 原理 及 清除 方法 


实 训 目 的 
(1) 了 解 口 盘 病 毒 的 工作 原理 。 
(2) 掌握 可 盘 病 毒 的 清除 方法 。 
实 训 环 境 


Windows XP/2000/2003，U 盘 ， 计 算 器 (或 其 他 ) 程序 。 


实 训 原 理 


将 一 些 病毒 独立 程序 存放 在 移动 存储 设备 中 ， 并 建立 移动 盘 自 动 启用 文件 ， 当 使 用 者 
打开 移动 存储 设备 时 ， 自 动 启用 文件 引导 病毒 程序 。 
自动 启用 文件 是 微软 公司 为 了 方便 用 户 而 启动 程序 而 设置 的 一 种 名 为 autorun.inf 的 文 


\y/ 


本 文件 ， 位 于 移动 盘 的 根 目录 ， 以 纯 文 本 的 方式 存放 各 种 控制 命令 ， 用 户 双击 盘 符 打开 移 
动 盘 时 就 会 自动 打开 并 执行 里 面 的 命令 。 
如 果 自 动 启动 文件 被 病毒 所 利用 ， 当 用 户 双 击 打开 移动 盘 时 就 会 自动 启动 病毒 程序 。 


操作 步骤 

第 1 步 : 使 用 记事 本 或 其 他 文本 文件 编辑 软件 ,在 U 盘 中 建立 名 为 autorun.inf 的 文本 
严 件 % 

文件 内 容 如 下 : 

[autorun] // 这 是 自动 启动 文件 固定 格式 


Shellexecute=c:\windows\system32\calc.exe; 

// 也 可 以 是 其 他 可 执行 程序 或 文 挡 ; 下 面 内 容 不 是 必需 的 ， 是 病毒 采取 的 隐藏 或 迷惑 用 户 的 常用 手法 
icon=calc.exe // 更 改 移动 盘 图 标 为 计算 器 

Label 计算 器 // 更 改 移动 盘 图 标 为 计算 器 

She 由 计算 器 \(Command=c:\windows\system32\calc.exe; // 在 快捷 菜单 中 添加 计算 器 命令 。 


第 2 步 : 将 上 述 文本 文件 以 autorun.inf 为 文件 名 保存 到 盘 根 目录 。 


第 3 步 : 重新 输入 避 盘 。 
第 4 步 : 计算 器 自动 启动 。 
第 5 步 : U 盘 病毒 的 清除 方法 。 删 除 autorun.inf 文件 或 格式 化 U 盘 即 可 。 


wr 


@— . 高等 职业 教育 “十 二 五 ”规划 教材 一 S - 


第 日 草 
黑客 的 攻击 与 防范 


> ”理解 黑客 的 概念 、 黑 客 的 攻击 目的 。 
> 了 解 黑客 常用 的 攻击 方法 。 
> 熟悉 黑客 常用 攻击 工具 及 攻击 的 防范 。 


> 掌握 防范 黑客 的 技巧 和 方法 。 
> 掌握 防范 特洛伊 木马 的 几 种 方法 。 


黑客 是 目前 网 络 不 安全 的 主要 因素 之 一 。 了 解 黑客 的 行为 以 及 攻击 的 方法 ， 可 以 使 我 
们 加 强 网 络 安全 的 意识 。 黑 客 技术 的 发 展 ， 使 网 络 安全 成 为 网 络 设计 与 维护 的 重要 内 容 ， 
同时 也 促进 了 防范 技术 的 发 展 。 


8.1 什么 第 时 符 


在 网 络 世界 里 ， 黑 客 是 指 那些 利用 计算 机 的 某 些 技术 及 其 他 手段 恶意 地 进入 其 非 授权 
范围 以 内 的 计算 机 或 网 络 空间 的 人 。360 安全 中 心 发 布 的 《2011 上 半年 中 国 网 络 安全 报告 》 
认为 ，2011 年 上 半年 ， 黑 客 网 络 犯罪 越 来 越 多 地 瞄准 人 性 弱点 发 起 攻击 : 利用 诱惑 视频 播 
放 器 、 破 解 或 改装 软件 ， 以 及 外 挂 软件 捆绑 传播 的 木马 成 为 主流 ;， 同时 ， 以 低 价 购物 、 虚 
假 中 奖 、 博 彩 、 股 票 欺诈 为 主 的 钓鱼 欺诈 网 站 数量 持续 猛 增 ， 相 比 去 年 同期 增加 近 5 倍 ， 
成 为 目前 互联 网 的 头号 安全 威胁 。 

目前 ， 黑 客 的 特征 主要 表现 在 以 下 几 个 方面 。 

1， 黑 客 群 体 扩大 化 


越 来 越 多 的 人 尤其 是 年 轻 人 热衷 于 黑客 技术 ， 由 于 计算 机 和 网 络 技术 的 普及 ， 一 大 批 
没有 受过 系统 的 计算 机 和 网 络 技术 教育 的 黑客 人 才 涌 现 出 来 。 黑 客 群体 中 的 绝 大 多 数 人 是 
由 好 奇 心 驱使 的 黑客 ， 这 类 黑客 掌握 较 少 的 技术 ， 使 用 现成 的 工具 ， 攻 击 不 设防 的 系统 。 
还 有 少 部 分 的 黑客 自己 编写 工具 进行 攻击 ， 这 部 分 黑客 掌握 着 较 好 的 技术 ， 能 够 进入 有 所 
防备 的 系统 ， 但 是 在 一 般 情况 下 ， 他 们 有 自己 的 道德 观念 和 伦理 文化 ， 基 本 上 不 会 有 意 破 
坏 他 人 的 系统 和 数据 。 第 三 部 分 特 指 极 少数 的 被 称 为 间谍 的 人 ， 这 类 黑客 是 执着 的 进攻 者 ， 
他 们 或 因 经 济 利益 的 关系 ， 或 因 政治 的 原因 ， 利 用 所 掌握 的 技术 或 工具 干扰 被 攻击 系统 的 
正常 工作 。 

2. 黑客 的 组 织 化 和 集团 化 

目前 ， 以 前 的 那 种 以 个 人 行为 为 主 的 黑客 越 来 越 少 ， 被 取而代之 的 是 大 批 黑客 组 织 。 
黑客 组 织 化 和 集团 化 的 优势 是 利用 成 员 各 自 的 不 同 特长 进行 合作 攻击 ， 从 而 提高 攻击 的 成 
功率 。 

3， 黑 客 行为 的 商业 化 

大 多 数 黑客 把 技术 当 作 是 谋生 的 手段 。 这 些 人 一 般 在 与 网 络 技术 相关 的 公司 里 工作 ， 
依靠 自己 高 超 的 计算 机 和 网 络 技术 来 设计 、 研 制 和 管理 安全 产品 。 

4. 黑客 行为 的 政治 化 

由 于 网 络 在 人 们 的 生产 生活 ， 尤 其 是 国家 军事 安全 中 占有 越 来 越 重要 的 地 位 ， 致 使 网 
络 安全 可 能 会 直接 影响 到 国家 安全 。 因 此 ， 各 国政 府 都 在 准备 迎接 未 来 信息 战争 的 挑战 。 
相当 多 的 黑客 被 政府 部 门 雇用 ， 去 从 事 国家 网 络 安全 与 攻击 的 研究 。 
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8.2” 谨 客 攻 直 的 目的 和 步骤 


1. 黑客 攻击 的 目的 和 3 个 阶段 


一 般 情况 下 ,黑客 的 攻击 总 有 明确 的 目的 性 。 由 于 黑客 们 成 长 的 经 历 和 生活 环境 不 同 ， 
其 攻击 目标 也 会 多 种 多 样 ， 但 大 致 上 可 以 归纳 总 结 如 下 。 

(1) 窃取 信息 。 

黑客 攻击 最 直接 的 目标 就 是 窃取 信息 。 黑 客 选取 的 攻击 目标 往往 是 许多 重要 的 信息 和 
数据 ， 在 获得 这 些 信 息 与 数据 后 ， 黑 客 就 可 以 进行 各 种 犯罪 活动 。 政 府 、 军 事 、 邮 电 和 人 金 
融 网 络 是 黑客 攻击 的 首选 目标 。 随 着 计算 机 与 网 络 技术 在 政府 、 军 事 、 金 融 、 医 疗 、 交 通 
及 电子 等 各 个 领域 的 广泛 应 用 ， 黑 客 的 各 种 破坏 活动 也 随 之 猩 猴 。 

窃取 信息 包括 破坏 信息 的 保密 性 和 完整 性 。 破 坏 信 息 的 保密 性 是 指 黑客 将 窃取 到 的 需 
要 保密 的 信息 发 往 公 开 的 网 站 。 而 破坏 信息 的 完整 性 是 指 黑客 对 重要 文件 进行 修改 、 更 换 
和 删除 ， 使 得 原来 的 信息 发 生 了 变化 ， 以 致 于 不 真实 或 者 错误 的 信息 给 用 户 带 来 了 难以 估 
量 的 损失 。 

事实 上 ， 获 取 口 令 也 是 窃取 信息 的 一 种 ， 由 于 口令 的 特殊 性 ， 所 以 单独 列 出 。 黑 客 通 
过 登录 目标 主机 ， 或 使 用 网 络 监 听 程序 进行 攻击 。 监 听 到 口令 后 ， 就 可 以 顺利 地 登录 到 其 
他 主机 ， 或 者 去 访问 一 些 本 来 无 权 访问 的 资源 。 

(2) 控制 中 间 站 点 。 

在 某 些 情况 下 ， 黑 客 登 录 目 标 主机 后 ， 不 是 为 了 窃取 信息 ， 只 是 运行 一 些 程序 ， 这 些 
程序 可 能 是 无 害 的 ， 仅 仅 消耗 一 些 系 统 的 处 理 时 间 。 比 如 ， 黑 客 为 了 攻击 一 台 主 机 ， 需 要 
一 个 中 间 站 点 ， 以 免 暴 露 自己 的 真实 所 在 。 这 样 即便 被 发 现 ， 也 只 能 找到 中 间 站 点 的 地 址 ， 
而 真正 的 攻击 者 可 以 隐藏 起 来 。 再 比如 ， 黑 客 不 能 直接 访问 某 一 严格 受 控制 的 站 点 或 网 络 ， 
此 时 就 需要 一 个 具有 访问 权限 的 中 间 站 点 ， 所 以 这 个 中 间 站 点 就 成 了 首先 要 攻击 的 目标 。 

(3) 获得 超级 用 户 权 限 。 

黑客 在 攻击 某 一 个 系统 时 ， 都 企图 得 到 超级 用 户 权限 ， 这 样 就 可 以 完全 隐藏 自己 的 行 
踪 ， 并 可 在 系统 中 埋伏 下 方便 的 后 门 ， 便 于 修改 资源 配置 ， 做 任何 只 有 超级 用 户 才能 做 的 
事情 。 

2. 黑客 攻击 可 以 分 为 3 个 阶段 

(1) 确定 目标 。 

黑客 进行 攻击 ， 首 先 要 确定 攻击 目标 。 比 如 ， 某 个 具有 特殊 意义 的 站 点 、 某 个 恶意 的 
互联 网 服务 提供 商 〈ISP)、 具 有 敌对 观点 的 宣传 站 点 或 解雇 了 黑客 的 单位 的 主页 等 。 

(2) 收集 信息 。 

收集 信息 的 目的 是 为 了 进入 所 要 攻击 的 目标 网 络 的 数据 库 。 黑 客 会 利用 公开 的 协议 或 

oy 工具 ， 收 集 驻 留 在 网 络 系统 中 的 各 个 主机 系统 的 相关 信息 。 
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在 黑客 对 特定 的 网 络 资源 进行 攻击 前 ， 他 们 需要 了 解 将 要 攻击 的 环境 ， 这 需要 搜集 汇 
总 各 种 与 目标 系统 相关 的 信息 ， 包 括 机 器 数目 、 类 型 、 操 作 系统 等 。 踩 点 和 扫描 的 目的 都 
是 进行 信息 的 搜集 。 

黑客 搜集 目标 信息 一 般 采 用 7 个 基本 步骤 ， 每 一 步 均 有 可 利用 的 工具 ， 黑 客 使 用 它们 
得 到 攻击 目标 所 需要 的 信息 。 

G@ 找到 初始 信息 。 

@ 找到 网 络 的 地 址 范围 。 

@ 找到 活动 的 机 器 。 

@ 找到 开放 端口 和 入 口 点 。 

@@ 弄 清 操作 系统 。 

@ 弄 清 每 个 端口 运行 的 是 哪 种 服务 。 

@ 画 出 网 络 图 。 

(3) 实施 攻击 。 

黑客 在 搜集 到 相关 信息 后 ， 就 可 以 对 目标 系统 实施 攻击 。 黑 客 一 旦 获得 了 对 攻击 目标 
系统 的 访问 权 后 ， 可 有 以 下 多 种 选择 。 

Q@ 可 能 试图 清除 攻击 入 侵 的 痕迹 ,并 在 系统 中 建立 另外 的 新 的 安全 漏洞 和 后 门 ， 以 使 
先前 的 攻击 点 被 发 现 后 ， 继 续 访问 系统 。 

@ 可 能 在 目标 系统 中 安装 探测 器 软件 , 包括 特洛伊 木马 程序 ,用 来 窥探 所 在 系统 的 活 
动 ， 收 集 黑 客 感 兴趣 的 一 切 信息 。 

@ 可 能 进一步 发 现 受 损 系 统 在 网 络 中 的 信任 等 级 , 然后 进一步 通过 该 中 间 系 统 展开 对 
整个 系统 的 攻击 。 

@ 若 黑客 在 受 损 系统 上 获得 了 特许 访问 权 ， 就 可 以 读 取 邮 件 、 搜 索 和 盗窃 私人 文件 以 
及 毁坏 重要 数据 ， 从 而 破坏 整个 系统 的 信息 ， 造 成 不 堪 设 想 的 后 果 。 

@ 黑客 在 攻击 得 手 后 , 往往 会 继续 在 系统 中 寻找 相关 主机 的 可 用 信息 ， 从 而 攻击 其 他 
系统 。 


8.3” 湾 客 攻击 方法 


8.3.1 常见 的 黑客 攻击 方法 


黑客 的 攻击 手段 多 种 多 样 , 对 常见 攻击 方法 的 了 解 将 有 助 于 用 户 达 到 有 效 防 黑 的 目的 。 

1， 特洛伊 木马 攻击 

特洛伊 木马 的 攻击 手段 就 是 将 一 些 “ 后 门 ””“ 特 殊 通 道 ” 隐 藏 在 某 个 软件 里 ， 将 使 用 
该 软件 的 计算 机 系统 作为 被 攻击 和 控制 的 对 象 。 特 洛 伊 木 马 程 序 可 以 直接 入 侵 用 户 的 计算 
机 并 进行 破坏 ， 它 常 被 伪装 成 工具 程序 或 者 游戏 等 ， 诱 使 用 户 打开 带 有 特洛伊 木马 程序 的 
邮件 附件 或 从 网 上 直接 下载。 一 旦 用 户 打开 了 这 些 邮 件 的 附件 或 者 执行 了 这 些 程序 后 ， 它 
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们 就 会 留 在 用 户 的 计算 机 中 ， 并 在 系统 中 隐藏 一 个 可 以 在 Windows 启动 时 悄悄 执行 的 程序 。 
当 用 户 连 接 到 Intemet 时 , 这 个 程序 就 会 通知 黑客 , 报告 用 户 的 卫 地 址 以 及 预先 设 定 的 端口 。 
黑客 在 收 到 这 些 信息 后 ， 再 利用 这 个 潜伏 在 其 中 的 程序 ， 就 可 以 任意 地 修改 用 户 的 计算 机 的 
参数 设 定 、 复 制 文件 、 窥 视 用 户 整 个 硬盘 中 的 内 容 等 ， 从 而 达到 控制 用 户 计算 机 的 目的 。 

2. Web 欺骗 技术 

欺骗 是 一 种 主动 攻击 技术 ， 它 能 破坏 两 台 计 算 机 间 通 信 链 路 上 的 正常 数据 流 ， 并 可 能 
向 通信 链 路 上 插入 数据 。 一 般 Web 欺骗 使 用 两 种 技术 ， 即 URL 地 址 重 写 技术 和 相关 信息 
掩盖 技术 。 首 先 黑客 建立 一 个 使 人 相信 的 Web 站 点 的 复制 ， 它 具有 所 有 的 页 面 和 链接 ， 然 
后 利用 URL 地 址 重 写 技术 ， 将 自己 的 Web 地 址 加 在 所 有 真实 URL 地 址 的 前 面 。 这 样 ， 当 
用 户 与 站 点 进行 数据 通信 时 ， 就 会 毫 无 防备 地 进入 黑客 的 服务 器 ， 用 户 的 所 有 信息 便 处 于 
黑客 的 监视 之 中 了 。 但 由 于 浏览 器 一 般 均 有 地 址 栏 和 状态 栏 ， 用 户 可 以 在 地 址 栏 和 状态 栏 
中 获得 连接 中 的 Web 站 点 地 址 及 其 相关 的 传输 信息 ， 并 由 此 发 现 问题 ， 所 以 黑客 往往 在 
URL 地 址 重 写 的 同时 ， 还 会 利用 相关 信息 掩盖 技术 ， 以 达到 掩盖 欺骗 的 目的 。 

3， 口令 攻击 


口令 攻击 是 指 先 得 到 目标 主机 上 某 个 合法 用 户 的 账号 后 , 再 对 合法 用 户口 令 进 行 破译 ， 
然后 使 用 合法 用 户 的 账号 和 破译 的 口令 登录 到 目标 主机 ， 对 目标 主机 实施 攻击 活动 。 

口令 攻击 方法 获得 用 户 账号 的 方法 很 多 ， 主 要 是 对 口令 的 破译 ， 常 用 的 方法 有 以 下 
几 种 。 


(1) 暴力 破解 。 它 基本 上 是 一 种 被 动 攻击 的 方式 。 黑 客 在 知道 用 户 的 账号 后 ， 利 用 一 

些 专门 的 软件 强行 破解 用 户口 令 ， 这 种 方法 不 受 网 段 限制 ， 但 需要 有 足够 的 耐心 和 时 间 
这 些 工具 软件 可 以 自动 地 从 黑客 字典 中 取出 一 个 单词 , 作为 用 户 的 口令 输入 给 远 端 的 主机 ， 
申请 进入 系统 。 若 口令 错误 ， 就 按 序 取出 下 一 个 单词 ， 进 行 下 一 个 尝试 ， 直 到 找到 正确 的 
口令 或 黑客 字典 的 单词 试 完 为 止 。 由 于 这 种 破译 过 程 是 由 计算 机 程序 自动 完成 ， 因 而 几 个 
小 时 内 就 可 以 把 几 十 万 条 记录 在 字典 里 的 所 有 单词 都 尝试 一 遍 。 
(2) 密码 探测 。 大 多 数 情况 下 ， 操 作 系统 保存 和 传送 的 密码 都 要 经 过 一 个 加 密 处 理 的 
过 程 ， 完 全 看 不 出 原始 密码 的 模样 ， 而 且 理 论 上 要 逆向 还 原 密码 的 机 率 几乎 为 零 。 但 黑客 
可 以 利用 密码 探测 的 工具 ， 反 复 模拟 编码 过 程 ， 并 将 编 出 的 密码 与 加 密 后 的 密码 相 比 较 ， 
如 果 两 者 相同 ， 就 表示 得 到 了 正确 的 密码 。 

(3) 网 络 监听 。 黑 客 可 以 通过 网 络 监听 得 到 用 户口 令 ， 这 类 方法 有 一 定 的 局 限 性 ， 但 
危害 性 极 大 。 由 于 很 多 网 络 协议 根本 就 没有 采用 任何 加 密 或 身份 认证 技术 ， 如 在 Telnet、 
FTP、FTIP、SMTP 等 传输 协议 中 ， 用 户 账号 和 密码 信息 都 是 以 明文 形式 传输 的 ， 此 时 若 
黑客 利用 数据 包 截 取 工 具 便 可 很 容易 收集 到 用 户 的 账号 和 密码 。 另 外 ， 黑 客 有 时 还 会 利用 
软件 和 硬件 工具 时 刻 监 视 系 统 主机 的 工作 ， 等 待 记录 用 户 登 录 信 息 ， 从 而 取得 用 户 密码 。 

(4) 登录 界面 攻击 法 。 黑 客 可 以 在 被 攻击 的 主机 上 ， 利 用 程序 伪造 一 个 登录 界面 ， 以 
骗取 用 户 的 账号 和 密码 。 当 用 户 在 这 个 伪造 的 界面 上 输入 登录 信息 后 ， 程 序 可 将 用 户 的 输 


i 入 信息 记录 并 传送 到 黑客 的 主机 ， 然 后 关闭 界面 ， 给 出 提示 信息 “系统 故障 ”或 “输入 错 
/ 
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误 ”， 要 求 用 户 重 新 输入 。 此 时 ， 假 的 登录 程序 自动 结束 ， 才 会 出 现 真正 的 登录 界面 。 

4. 电子 邮件 攻击 

电子 邮件 是 互联 网 上 运用 得 十 分 广泛 的 一 种 通信 方式 ， 但 同时 它 也 面临 着 巨大 的 安全 
风险 。 攻击 者 可 以 使 用 一 些 邮 件 炸弹 软件 向 目标 邮箱 发 送 大 量 内 容重 复 、 无 用 的 垃圾 邮件 ， 
从 而 使 目标 邮箱 被 撑 爆 而 无 法 使 用 。 当 垃圾 邮件 的 发 送 流量 特别 大 时 ， 还 可 以 造成 邮件 系 
统 的 次 痪 。 另 外 ， 对 于 电子 邮件 的 攻击 还 包括 窃取 和 自 改 邮件 数据 、 伪 造 邮件 、 利 用 邮件 
传播 计算 机 病毒 等 。 


5， 网 络 监听 


网 络 监 听 是 主机 的 一 种 工作 模式 ， 在 这 种 模式 下 ， 主 机 可 以 接收 到 本 网 段 在 同一 物理 
通道 上 传输 的 所 有 信息 ， 而 不 管 这 些 信 息 的 发 送 方 和 接收 方 是 谁 。 网 络 监 听 可 以 在 网 上 的 
任何 一 个 位 置 进行 ， 如 局 域 网 中 的 一 台 主 机 上 、 网 关上 、 路 由 设备 或 交换 设备 上 ， 或 远程 
网 的 调制 解 调 器 之 间 等 。 因 为 系统 在 进行 密码 校 验 时 ， 用 户 输入 的 密码 需要 求 用 户 端 传送 
到 服务 器 端 ， 这 时 ， 黑 客 就 能 在 两 端 之 间 进 行 数据 监听 。 此 时 若 两 台 主 机 进行 通信 的 信息 
没有 加 密 ， 只 要 使 用 某 些 网 络 监听 工具 ， 就 可 轻而易举 地 截取 包括 口令 和 账号 在 内 的 信息 
资料 。 虽 然 网 络 监听 获得 的 用 户 账号 和 口令 具有 一 定 的 局 限 性 ， 但 黑客 往往 能 够 获得 其 所 
在 网 段 的 所 有 用 户 账号 及 口令 。 

6， 端 口 扫描 攻击 

所 谓 端 口 扫描 , 就 是 利用 Socket 编程 与 目标 主机 的 某 些 端口 建立 TCP 连接 、 进 行 传输 
协议 的 验证 等 ， 从 而 得 知 目标 主机 的 扫描 端口 是 否 处 于 激活 状态 、 主 机 提供 了 哪些 服务 、 
提供 的 服务 中 是 否 含有 某 些 缺陷 等 。 在 TCP/IP 协议 中 规定 ， 计 算 机 可 以 有 256X256 个 端 
口 ， 通 过 这 些 端口 进行 数据 的 传输 。 黑 客 一 般 会 发 送 特洛伊 木马 程序 ， 当 用 户 不 小 心 运行 
后 ， 计 算 机 内 的 某 一 端口 就 会 打开 ， 黑 客 就 可 通过 这 一 端口 进入 用 户 的 计算 机 系统 。 

7. 缓冲 区 溢出 

许多 系统 都 有 这 样 或 那样 的 安全 漏洞 ， 其 中 一 些 是 操作 系统 或 应 用 软件 本 身 具 有 的 ， 
如 缓冲 区 涪 出 攻击 。 缓 冲 区 溢出 是 一 个 非常 普遍 、 非 常 危 险 的 漏洞 ， 在 各 种 操作 系统 、 应 
用 软件 中 广泛 存在 。 产 生 缓 冲 区 溢出 的 根本 原因 在 于 ， 将 一 个 超过 缓冲 区 长 度 的 字 串 复制 
到 缓冲 区 。 洲 出 带 来 了 两 种 后 果 ， 一 是 过 长 的 字 串 覆盖 了 相 邻 的 存储 单元 ， 引 起 程序 运行 
失败 ， 严 重 的 可 引起 死机 、 系 统 重新 启动 等 后 果 ; 二 是 利用 这 种 漏洞 可 以 执行 任意 指令 ， 
甚至 可 以 取得 系统 特权 。 针 对 这 些 漏洞 ， 黑 客 可 以 在 长 字符 串 中 嵌入 一 段 代码 ， 并 将 过 程 
的 返回 地 址 覆盖 为 这 段 代 码 的 地 址 。 当 过 程 返回 时 ， 程 序 就 转 而 开始 执行 这 段 黑 客 自 编 的 
代码 了 。 一 般 说 来 ， 这 段 代 码 都 是 执行 一 个 Shell 程序 。 这 样 ， 当 黑客 入 侵 一 个 带 有 缓冲 区 
溢出 缺陷 且 具 有 Suid-root 属性 的 程序 时 , 就 会 获得 一 个 具有 root 权限 的 Shell, 在 这 个 Shell 
中 黑客 可 以 做 任何 事 。 恶 意 地 利用 缓冲 区 溢出 漏洞 进行 攻击 ， 可 以 导致 程序 运行 失败 、 系 
统 死机 、 重 启 等 后 果 ， 更 为 严重 的 是 ， 可 以 利用 它 执行 非 授权 指令 ， 甚 至 可 以 取得 系统 特 
权 ， 进 而 进行 各 种 非法 操作 ， 取 得 机 器 的 控制 权 。 
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8.3.2 ”拒绝 服务 攻击 


1. 拒绝 服务 攻击 简介 


拒绝 服务 (Denial of Service，DoS ) 攻击 大 致 可 以 分 为 两 类 。 一 类 是 由 于 错误 配置 或 
者 软件 弱点 导致 的 ， 某 些 Dog 攻击 是 由 于 协议 固有 的 缺陷 或 者 对 协议 的 实现 导致 的 ， 这 类 
攻击 可 以 通过 开发 商 发 布 简单 的 补丁 来 解决 。 另 一 类 DoS 攻击 利用 合理 的 服务 请 求 来 占用 
过 多 的 服务 资源 ， 致 使 服务 超载 ， 无 法 响应 其 他 的 请 求 。 这 些 服务 资源 包括 网 络 带 宽 、 文 
件 系统 空间 容量 、CPU 时 间 等 。 这 种 攻击 会 导致 系统 资源 的 匮乏 。 无 论 计 算 机 的 处 理 速度 
多 快 、 内 存 容 量 多 大 、 网 络 的 带宽 有 多 少 ， 都 总 有 一 个 极限 ， 所 以 ， 总 能 找到 一 种 方法 使 
请 求 的 值 大 于 该 极限 值 ， 对 于 这 类 攻击 还 没有 一 个 固定 的 解决 方案 。 

长 期 以 来 第 一 类 DoS 攻击 ， 也 就 是 由 于 错误 配置 或 者 软件 弱点 导致 的 攻击 是 攻击 的 主 
流 方 式 。 这 是 因为 利用 合理 的 服务 请 求 来 占用 过 多 的 服务 资源 ， 这 种 攻击 方法 往往 需要 相 
当 大 的 带宽 ， 而 高 带宽 是 大 公司 和 国家 科研 机 关 所 拥有 的 ， 以 个 人 为 主 的 黑客 很 难 享用 。 
为 了 克服 这 个 缺点 ， 攻 击 者 开发 出 分 布 式 攻击 技术 ， 利 用 工具 集合 许多 的 网 络 带宽 来 对 同 
一 个 目标 发 送 大 量 的 请 求 ， 这 就 引入 了 一 个 新 概念 一 一 分 布 式 。 这 些 程序 可 以 使 得 分 散在 
互联 网 各 处 的 计算 机 共同 完成 对 一 台 主机 攻击 的 操作 ， 从 而 使 主机 看 起 来 好 像 是 遇 到 了 不 
同位 置 的 许多 主机 的 攻击 。 这 些 分 散 的 计算 机 通过 由 几 台 主 控制 机 来 进行 多 种 类 型 的 攻击 ， 
如 UDP flood、SYN flood 等 。 

Dos 攻击 的 一 个 特点 是 这 种 攻击 通常 无 法 追踪 。 由 于 这 种 攻击 一 般 不 需要 与 目标 之 间 
的 交互 ， 所 以 攻击 者 可 以 伪造 IP 地 址 。 在 UNIX 环境 中 伪造 源 IP 地 址 非常 容易 ， 不 过 这 
需要 攻击 者 具有 root 权限 。 

2， 常 见 的 拒绝 服务 攻击 

(1) food。 

flood 是 “淹没 ”的 意思 ， 它 是 DoS 攻击 的 一 种 手法 ， 具 有 高 带宽 的 计算 机 可 以 通过 大 
量 发 送 TCP、UDP 或 者 ICMP echo request 的 报 文 ， 将 低 带宽 的 计算 机 “淹没 ”降低 对 方 
计算 机 的 响应 速度 。 其 中 最 简单 的 一 种 办 法 就 是 在 UNIX 下 ping 一 个 IP， 这 种 通过 发 送 异 
常 的 、 大 的 ping 来 杀 掉 服务 器 的 方法 有 时 称 为 ping of death。 另 一 种 常用 的 手法 称 为 SYN 
flood, 攻击 者 有 意 不 完成 TCP 的 3 次 握手 过 程 ， 其 目的 是 让 等 待 建立 某 种 特定 服务 的 连接 
数量 超过 系统 所 能 承受 的 数量 ， 从 而 使 得 系统 不 能 建立 新 的 连接 。 

虽然 所 有 的 操作 系统 对 每 个 连接 都 设置 了 一 个 计时 器 ， 如 果 计 时 器 超时 就 释放 资源 ， 
但 是 攻击 者 可 以 持续 建立 大 量 新 的 SYN 连接 来 消耗 系统 资源 。 很 显然 , 由 于 攻击 者 并 不 想 
完成 3 次 握手 过 程 ， 所 以 不 需要 接收 SYN / ACK， 因 此 也 就 没有 必要 使 用 真实 的 了 P 地 址 。 
实现 SYN flood 是 非常 简单 的 ， 在 互联 网 上 有 大 量 的 源 程序 可 以 下 载 。 

(2) Smurf。 

Smurf 是 一 种 很 古老 的 DoS 攻击 , 这 种 方法 使 用 了 广播 地 址 (broadcast address )。 发 向 

广播 地 址 的 人 P 包 会 被 网 络 中 所 有 的 计算 机 所 接收 ， 广 播 地 址 的 尾数 通常 为 0， 例 如 
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192.168.1.0， 尾 数 为 255 的 地 址 通常 作为 多 播 地 址 (multicast address)， 但 有 时 候 也 被 用 作 
广播 地 址 。 

设想 发 送 一 个 人 P 包 到 广播 地 址 192.168.1.0， 假 设 这 个 网 络 中 有 50 台 计 算 机 ， 将 会 收 
到 50 次 应 答 ， 广 播 地 址 在 这 里 起 到 了 放大 器 的 作用 ，Smurf 攻击 就 利用 了 这 种 作用 。 如 果 
A 发送 1KB 大 小 的 ICMP echo request 到 广播 地 址 , 那么 A 将 收 到 1KBXN 的 ICMP reply， 
其 中 N 为 网 络 中 计算 机 的 总 数 。 当 N 等 于 100 万 时 , 产生 的 应 答 将 达到 1GB， 这 将 会 大 量 
消耗 网 络 资源 ， 如 果 B 假冒 了 A 的 耳 地 址 ， 那 么 收 到 应 答 的 是 A， 对 A 来 说 就 是 一 次 拒 
绝 服务 攻击 。 最 经 典 的 Smurf 程序 称 为 parasmurf.c。 

(3) 短信 拒绝 服务 攻击 。 

短信 拒绝 服务 攻击 是 一 种 新 型 的 移动 终端 的 攻击 手段 ， 黑 客 通过 计算 机 向 目标 发 出 巨 
量 垃圾 信息 或 指令 ， 以 致 垃圾 信息 屏蔽 了 其 他 计算 机 的 联网 功能 。 

恶意 黑客 可 采用 与 垃圾 邮件 相同 的 办 法 入 侵 流行 的 文本 短信 服务 ， 从 而 使 大 都 市 的 手 
机 网 络 陷于 瘫痪 。 黑 客 可 构造 各 种 的 网 络 post 表单 、 发 包 ， 从 手机 运营 商 向 网 络 提供 短信 
服务 的 方式 看 ， 这 种 攻击 是 可 能 的 ， 因 为 这 种 方式 也 可 使 干扰 短信 系统 的 垃圾 邮件 发 送 者 
攻击 手机 语音 网 络 ， 并 使 其 瘫痪 。 

现 如 今 多 数 的 移动 终端 已 经 实现 了 智能 化 系统 ， 市 场 中 有 大 量 关 于 拦截 恶意 骚扰 的 软 
件 ， 一 般 此 类 软件 可 防御 大 部 分 的 单 端口 攻击 ( 单 端口 攻击 : 攻击 者 可 通过 多 条 线路 来 攻 
击 同一 终端 ， 终 端 就 会 接收 到 多 个 号 码 的 信息 。 单 端口 就 是 单一 的 号 码 ， 此 类 攻击 可 被 一 
些 防 御 软件 拦截 )。 但 如 果 攻 击 者 通过 多 端口 多 线路 攻击 ， 此 类 的 防御 软件 也 就 成 了 摆设 ， 
现 如 今 常 见 的 攻击 中 ， 多 数 可 通过 拦截 号 码 与 关键 词 的 手段 来 防御 ， 而 对 于 特定 的 构造 不 
同 内 容 不 同 线路 的 攻击 则 无 济 于 事 。 

3， 拒 绝 服务 攻击 的 防范 方法 


(1) 用 足够 的 机 器 承受 黑客 攻击 。 这 是 一 种 较为 理想 的 应 对 策略 。 如 果 用 户 拥有 足够 
的 容量 和 足够 的 资源 给 黑客 攻击 ， 在 它 不 断 访问 用 户 、 夺 取 用 户 资源 时 ， 自 己 的 能 量 也 在 
逐渐 耗 失 ， 或 许 未 等 用 户 被 攻破 ， 黑 客 就 没有 了 后 力 。 

(2) 充分 利用 网 络 设备 保护 网 络 资源 。 所 谓 网 络 设备 是 指 路 由 器 、 防 火 墙 等 负载 均衡 
设备 ， 它 们 可 将 网 络 有 效 地 保护 起 来 。 当 被 攻击 者 被 攻击 时 最 先 攻破 的 是 路 由 器 ， 但 其 他 
设备 没有 攻破 。 攻 破 的 路 由 器 经 重启 后 会 恢复 正常 ， 而 且 启动 起 来 还 很 快 ， 没 有 什么 损失 。 
若 其 他 服务 器 被 攻破 ， 其 中 的 数据 会 丢失 ， 而 且 重启 服务 器 又 是 一 个 漫长 的 过 程 ， 如 果 没 
有 路 由 器 这 道 屏 障 ， 被 攻击 者 会 受到 无 法 估量 的 重创 。 

(3) 使 用 Inexpress、Express Forwarding 过 滤 不 必要 的 服务 和 端口 ， 即 在 路 由 器 上 过 
滤 假 下 地 址 。 比 如 Cisco 公司 的 CEF (Cisco Express Forwarding) 可 以 针对 封包 Source IP 
和 Routing Table 做 比较 ， 并 加 以 过 滤 。 

(4) 使 用 Unicast Reverse Path Forwarding 检查 访问 者 的 来 源 。 它 通过 反 向 路 由 表 查 询 
的 方法 检查 访问 者 的 下 地 址 是 否 是 真 ， 如 果 是 假 的 ， 它 将 予以 屏蔽 。 许 多 黑客 攻击 常 采 用 
假 下 地 址 方式 迷惑 用 户 ， 很 难 查 出 它 来 自 何 处 ， 因 此 利用 Unicast Reverse Path Forwarding 
可 减少 假 瑟 地址 的 出 现 ， 有 助 于 提高 网 络 的 安全 性 。 
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(5) 过 滤 所 有 RFC1918 IP 地 址 。RFC1918 IP 地 址 是 内 部 网 的 卫 地 址 ， 像 10.0.0.0、 
192.168.0.0 和 172.16.0.0, 它们 不 是 某 个 网 段 的 固定 他 地 址 , 而 是 Intemet 内 部 保留 的 区 域 
性 下 地 址 ， 应 该 把 它们 过 滤 掉 。 

(6) 限制 SYN/ICMP 流量 。 用 户 应 在 路 由 器 上 配置 SYN/ICMP 的 最 大 流量 来 限制 
SYN/ICMP 封包 所 能 占有 的 最 高 频 宽 。 这样， 当 出 现 大 量 的 超过 所 限定 的 SYN/ICMP 流量 
时 ， 说 明 不 是 正常 的 网 络 访问 ， 而 是 有 黑客 入 侵 。 


8.3.3 ”特洛伊 木马 攻击 


特洛伊 木马 ， 就 是 我 们 平常 所 说 的 木马 ， 名 称 取 自 希 腊 神 话 特 洛 伊 木 马 ， 它 是 一 种 基 
于 远程 控制 的 黑客 工具 ， 具 有 隐蔽 性 和 非 授权 性 的 特点 。 这 里 的 隐蔽 性 是 指 木马 的 设计 者 
为 了 防止 木马 被 发 现 ， 会 采用 多 种 手段 隐藏 木马， 这 样 服务 端 即使 发 现 感染 了 木马 病毒 ， 
也 很 难 确定 其 具体 位 置 。 非 授权 性 是 指控 制 端 与 服务 端 连接 后 ， 控 制 端 将 享有 服务 端的 大 
部 分 操作 权限 ， 包 括 修改 文件 、 修 改 注 册 表 、 控 制 鼠 标 和 键盘 等 ， 而 这 些 权力 并 不 是 服务 
端 赋予 的 ， 而 是 通过 木马 程序 窍 取 的 。 

从 木马 的 发 展 来 看 ， 可 以 分 为 两 个 阶段 。 最 初 网 络 还 处 于 以 UNIX 平台 为 主 的 时 期 ， 
木马 就 产生 了 ， 当 时 木马 程序 的 功能 相对 简单 ， 往 往 是 将 一 段 程序 嵌入 到 系统 文件 中 ， 用 
跳 转 指令 来 执行 一 些 木马 的 功能 。 这 个 时 期 木马 的 设计 者 和 使 用 者 大 都 是 一 些 技 术 人 员 
具备 了 相当 专业 的 网 络 和 编程 知识 。 后 来 ， 随 着 Windows 平台 的 日 益 普 及 ， 一 些 基于 图 形 
操作 的 木马 程序 出 现 了 ， 改 善后 的 用 户 界 面 更 加 友好 ， 使 用 者 不 需要 懂得 太 多 的 专业 知识 
就 可 以 熟练 地 操作 木马 ， 木 马 的 使 用 者 增加 了 ， 相 应 的 木马 入 侵 事 件 也 频繁 出 现 了 ， 而 且 
由 于 这 个 时 期 木马 的 功能 日 趋 完善 ， 因 此 对 服务 端的 破坏 也 更 大 了 。 

一 个 完整 的 木马 系统 由 硬件 、 软 件 和 具体 连接 部 分 组 成 。 硬 件 部 分 是 指 建立 木马 连接 
所 必须 的 硬件 实体 。 前 面 曾经 提 到 控制 端 和 服务 端 ， 控 制 端 指 的 是 对 服务 端 进行 远程 控制 
的 一 方 ; 服务 端 是 指 被 控制 端 远 程控 制 的 一 方 。 而 Intemet 则 是 控制 端 对 服务 端 进行 远程 控 
制 、 传 输 数 据 的 网 络 载体 。 软件 部 分 是 实现 远程 控制 所 必需 的 软件 程序 ， 包括 控制 端 程序 、 
木马 程序 以 及 木马 配置 程序 。 其 中 ， 控 制 端 程序 是 控制 端 用 以 远程 控制 服务 端的 程序 ， 木 
马 程序 是 指 潜入 服务 端 内 部 ， 获 取 其 操作 权限 的 程序 ， 木 马 配置 程序 是 指 设置 木马 程序 的 
端口 号 、 触 发 条 件 和 木马 名 称 等 ， 这 个 程序 主要 是 为 了 让 木马 在 服务 端 更 隐蔽 。 具 体 连 接 
部 分 是 指 木 马 进 行 数据 传输 的 目的 地 。 

1. 配置 木马 

在 这 个 阶段 的 主要 目的 是 实现 木马 的 伪装 和 信息 反馈 两 个 功能 。 木 马 的 伪装 是 指 为 了 
更 好 地 隐藏 木马 ， 采 用 多 种 伪装 手段 ， 如 修改 图 标 、 捆 绑 文 件 或 定制 端口 等 诸多 方式 。 信 
息 反馈 是 指 木马 配置 程序 将 信息 反馈 的 方式 或 地 址 进行 设置 ， 比 如 设置 信息 反馈 的 邮件 地 
址 或 QQ 号 等 。 

具体 而 言 ， 木 马 的 伪装 形式 包括 以 下 几 种 。 

vie (1) 修改 图 标 。 用 户 在 接收 到 的 邮件 的 附件 中 看 到 文本 文件 的 图 标 时 ， 里 面 可 能 隐藏 
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着 木马 程序 。 因 为 现在 已 经 有 可 以 将 木马 服务 端 程序 的 图 标 改 成 .html、.txt 或 .zip 等 文件 图 
标的 专门 技术 。 当 然 ， 目 前 提供 这 种 功能 的 木马 还 不 是 很 多 ， 并 且 这 种 伪装 也 不 是 无 懈 可 
击 的 。 

(2) 捆绑 文件 。 这 种 伪装 手段 是 将 木马 捆绑 在 一 个 安装 程序 上 ， 当 安装 程序 运行 时 ， 
木马 在 用 户 毫 无 察觉 的 情况 下 进入 系统 。 

(3) 出 错 提示 。 有 一 定 木马 知识 的 人 都 知道 ， 如 果 打 开 一 个 文件 ， 没 有 任何 反应 ， 这 
很 可 能 就 是 个 木马 程序 。 木 马 的 设计 者 为 了 弥补 这 个 缺陷 ， 就 为 木马 提供 了 一 个 出 错 显示 
的 功能 。 当 服务 端 用 户 打 开 木 马 程序 时 ,会 弹出 一 个 伪造 的 错误 提示 框 ， 内 容 可 以 自 定义 ， 
比如 “文件 无 法 打开 !” 之 类 的 。 

(4) 定制 端口 。 老 式 的 木马 程序 所 使 用 的 端口 一 般 都 是 固定 的 ,利于 判断 是 否 感染 木 
马 。 木 马 的 设计 者 为 了 弥补 这 个 缺陷 ， 为 木马 提供 了 一 个 叫做 定制 端口 的 功能 。 控 制 端 用 
户 可 以 选择 任意 一 个 大 于 1024 的 端口 作为 木马 端口 ， 为 判断 木马 带 来 了 困难 。 

(5) 自我 销毁 。 当 服务 端 打开 含有 木马 的 文件 后 ， 木 马 会 将 自己 复制 到 操作 系统 的 系 
统 文件 中 。 一 般 来 说 ， 原 木马 文件 的 大 小 和 系统 文件 夹 中 的 大 小 是 一 样 的 ， 感 染 了 木马 的 
用 户 只 要 在 收 到 的 邮件 和 下 载 的 软件 中 找到 原木 马 文件 ， 在 系统 文件 夹 中 找到 相同 大 小 的 
文件 ， 就 可 以 判断 木马 的 存在 了 。 而 木马 的 自我 销毁 功能 是 指 安装 完 木 马 后 ， 原 木马 文件 
将 自动 销毁 ， 这 样 服务 端 用户 就 很 难 找到 木马 的 来 源 。 

(6) 木马 更 名 。 安 装 到 系统 文件 夹 中 的 木马 的 文件 名 一 般 是 固定 的 ， 那 么 只 要 根据 一 定 
的 常规 知识 ， 找 到 特定 的 文件 ， 就 可 以 知道 中 了 什么 木马 。 而 现在 有 很 多 木马 都 允许 控制 
端 用 户 自由 定制 安装 后 的 木马 文件 名 ， 这 样 就 很 难 判断 所 感染 的 木马 类 型 了 。 


2. 传播 木马 


传播 木马 的 方式 主要 有 两 种 ， 一 种 是 通过 电子 邮件 ， 控 制 端 将 木马 程序 以 附件 的 形式 随 
同 邮件 发 送 ， 而 另 一 种 是 软件 下 载 ， 一 些 非 正规 的 网 站 以 提供 软件 下 载 的 名 义 ， 将 木马 捆 
绑 在 软件 安装 程序 上 ， 程 序 下 载 后 ， 只 要 一 运行 ， 木 马 就 会 自动 安装 。 
3. 运行 木马 
木马 自动 安装 后 ， 首 先 将 自己 复制 到 操作 系统 的 系统 文件 夹 中 ， 然 后 在 注册 表 、 启 动 
组 及 非 启动 组 中 设置 好 木马 的 触发 条 件 ， 这 样 木马 的 安装 就 完成 了 。 安 装 后 就 可 以 启动 木 
马 了 。 木 马 的 运行 过 程 如 下 : 设置 木马 的 触发 条 件 ， 木 马 进 入 内 存 ， 然 后 开启 相应 的 端口 。 
运行 后 的 木马 会 将 服务 端的 相关 信息 泄露 给 控制 端 ， 并 在 开放 的 端口 等 候 控 制 端的 连接 。 
触发 条 件 是 指 启动 木马 的 条 件 ， 大 致 出 现在 以 下 几 个 地 方 。 
(1) 注册 表 [HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\] 
的 Run 和 RunSerices 主键 。 
(2) system.ini 文件 中 在 [386enh]、[mci] 和 [drivers32] 内 有 关于 启动 木马 的 命令 行 。 
(3) 文件 autoexec.bat 和 config.sys 以 及 应 用 程序 的 启动 配置 文件 也 可 以 启动 木马 。 这 
种 加 载 方式 一 般 都 需要 控制 端 用 户 与 服务 端 建立 连接 后 ， 将 已 添加 木马 启动 命令 的 同名 文 
件 上 传 服务 端 覆盖 这 两 个 文件 才 行 。 
(4) 注册 表 [HKEY-CLASSES-ROOT\ 文 件 类 型 \shell\open\command] 主 键 。 例 如 ， 国产 LA, 
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木马 “冰河 ”就 是 修改 此 键 , 将 “C:\Windows\SYSTEM\sysexplr.exe%1” 改 为 “C: \Windows\ 
system\sysexplr.exe%1”。 双 击 一 个 文本 文件 后 ， 原 本 应 打开 记事 本 的 程序 都 变 成 启动 木马 
的 程序 了 。 通 过 修改 .html、.exe 及 .zit 等 文件 的 启动 命令 的 键 值 可 以 启动 木马 。 

(5) 捆绑 文件 。 实 现 这 种 触发 条 件 要 控制 端 和 服务 端 已 通过 木马 建立 连接 ， 然 后 控制 
端 用 户 用 工具 软件 将 木马 文件 和 某 一 应 用 程序 捆绑 在 一 起 ， 上 传 到 服务 端 覆盖 文件 。 这 样 
即使 木马 被 删除 了 ， 只 要 运行 捆绑 了 木马 的 应 用 程序 ， 木 马 又 会 被 运行 安装 。 

(6) 启动 菜单 。 在 “开始 ”一 “程序 ”一 “启动 ”选项 下 也 可 能 有 木马 的 触发 条 件 。 

木马 运行 时 都 在 开放 端口 ， 如 果 在 脱 机 状态 下 查看 到 有 端口 开放 ， 或 上 网 时 ， 有 一 些 
数值 比较 大 的 端口 开放 ， 那 就 要 小 心 查看 是 否 已 经 感染 了 木马 。 

4. 信息 泄露 

设计 成 熟 的 木马 都 有 信息 反馈 机 制 ， 这 里 的 信息 反馈 是 指 木马 成 功 安 装 后 会 收集 一 
些 服务 端的 软 、 硬 件 信 息 ， 并 通过 相关 的 方式 反馈 给 控制 端 用 户 。 泄 露 的 信息 包括 操作 系 
统 、 系 统 目 录 、 硬盘 分 区 情况 和 系统 口令 等 。 在 这 些 信息 中 , 最 重要 的 是 服务 端的 卫 地 址 。 
因为 控制 端 与 服务 端 要 建立 连接 :所 以 要 得 知 服务 端的 他 地 址 及 开放 的 端口 号 , 而 开放 的 
端口 是 在 木马 程序 中 配置 的 ， 所 以 只 有 人 P 地 址 是 控制 端 必得 到 的 。 控 制 端 除了 可 以 通过 反 
馈 得 到 外 ， 还 可 以 通过 扫描 开放 特定 端口 的 计算 机 的 于 地 址 而 获得 。 

5. 建立 连接 

有 了 IP 地址 后 ， 木 马 连 接 就 可 以 建立 起 来 了 ， 这 样 ， 控 制 端 端口 和 木马 端口 之 间 就 会 
出 现 一 条 通道 。 而 控制 端 上 的 控制 端 程序 就 可 以 通过 这 条 通道 与 服务 端 上 的 木马 程序 取得 
联系 ， 并 通过 木马 程序 对 服务 端 进行 远程 控制 。 

6， 远 程控 制 

控制 端 能 享有 的 控制 权限 有 以 下 几 种 。 

(1) 窃取 密码 。 一 切 以 明文 形式 或 缓存 在 Cache 中 的 密码 都 能 被 木马 侦 测 到 ， 此 外 很 
多 木马 还 提供 按键 记录 功能 ， 它 将 会 记录 服务 端 每 次 敲 击 键盘 的 动作 。 一 旦 木马 入 侵 ， 用 
户 密码 将 很 容易 被 窃取 。 

(2) 文件 操作 。 控制 端 可 由 远程 控制 对 服务 端 上 的 文件 进行 删除 、 新 建 、 修 改 、 上 传 、 
下 载 、 运 行 和 更 改 属性 等 一 系列 操作 。 

(3) 修改 注册 表 。 控 制 端 可 任意 修改 服务 端 注 册 表 ， 包 括 删除 、 新 建 或 修改 主键 、 子 
键 或 键 值 。 这 样 ， 控 制 端 就 可 以 禁止 服务 端 软驱 和 光驱 的 使 用 ， 锁 住 服务 端的 注册 表 ， 将 
服务 端 上 木马 的 触发 条 件 设置 得 更 隐蔽 ， 从 而 完成 一 系列 高 级 操作 。 

(4) 系统 操作 。 这 项 内 容 包括 重启 或 关闭 服务 端 操作 系统 、 断 开 服务 端的 网 络 连 接 、 
控制 服务 端的 鼠标 和 键盘 、 监 视 服务 端 桌面 操作 、 查 看 服务 端 进程 以 及 控制 端 甚至 可 以 随 
时 给 服务 端 发 送信 息 。 

随 着 网 络 的 普及 ， 上 网 的 人 或 多 或 少 都 要 受到 木马 的 困扰 。 木 马 主要 是 通过 下 载 软件 
和 电子 邮件 两 种 途径 传播 。 所 以 ， 为 了 避免 感染 木马 ， 用 户 首先 要 到 正规 的 网 站 去 下 载 软 


a 件 。 然后， 在 接收 邮件 时 ， 一 定 要 谨慎 地 观察 附件 。 如 果 附 件 是 EXE 文件 或 者 是 一 些 不 常 


见 的 文件 类 型 ， 有 可 能 是 木马 。 另 外 ， 前 面 曾 经 提 及 木马 也 可 以 将 图 标 伪装 成 .txt 或 .html， 
这 样 就 要 看 附件 的 长 度 了 ， 一 个 木马 程序 一 般 都 要 100KB 以 上 ， 而 :txt 或 .html 就 不 会 这 么 
大 了 。 最 后 ， 就 是 看 打开 附件 之 后 的 反应 了 ， 如 果 打 开 附件 毫 无 反应 ， 或 者 是 弹出 一 个 出 
消 提 示 框 ， 那 可 能 就 是 木马 了 。 如 图 8.1 所 示 为 国产 的 木马 程序 “冰河 ”的 客户 端 窗 口 。 
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图 8.1 冰河 V8.4 的 客户 端 窗口 


8.4 利 见 的 晤 和 容 工 具 简 介 


8.4.1 邮件 炸弹 工具 


所 谓 的 邮件 炸弹 ， 指 的 是 邮件 发 送 者 利用 特殊 的 电子 邮件 软件 ， 在 很 短 的 时 间 内 连续 不 
断 地 将 邮件 发 送 给 同一 个 收 信人 ， 在 这 些 数 以 千 万 计 的 大 容量 信件 面前 收 件 箱 肯定 不 堪 重 负 ， 
而 最 终 “ 爆 炸 身亡 ”。 目 前 ， 知 名 的 邮件 炸弹 有 Emailbomb、Kaboom3 、Unabomb 等 。 

这 种 攻击 手段 不 仅 会 干扰 用 户 的 电子 邮件 系统 的 正常 使 用 ， 甚 至 它 还 能 影响 到 邮件 系 
统 所 在 的 服务 器 系统 的 安全 , 造成 整个 网 络 系统 全 部 瘫痪 ,所 以 邮件 炸弹 具有 很 大 的 危害 。 

邮件 炸弹 可 以 大 量 消耗 网 络 资源 , 常常 导致 网 络 塞车 , 使 大 量 的 用 户 不 能 正常 地 工作 。 
通常 ， 网 络 用 户 的 信箱 容量 是 很 有 限 的 ， 在 有 限 的 空间 中 ， 如 果 用 户 在 短 时 间 内 收 到 上 千 
上 万 封 电子 邮件 ， 那 么 经 过 一 轮 邮 件 炸 弹 友 炸 后 的 电子 邮件 的 总 容量 很 容易 就 把 用 户 有 限 
的 阵地 挤 垮 。 这 样 用 户 的 邮箱 中 将 没有 多 余 的 空间 接收 新 的 邮件 ， 那 么 新 邮件 将 会 被 丢失 
或 者 被 退回 ， 这 时 用 户 的 邮箱 已 经 失去 了 作用 ; 另外 ， 这 些 邮件 炸弹 所 携带 的 大 容量 信息 不 
断 在 网 络 上 来 回 传 输 , 很 容易 堵塞 带宽 并 不 富裕 的 传输 信道 , 这 样 会 加 重 服 务 器 的 工作 强度 ， 
减缓 了 处 理 其 他 用 户 的 电子 邮件 的 速度 ， 从 而 导致 了 整个 过 程 的 延迟 。 

预防 炸弹 袭击 的 措施 如 下 。 

(1) 向 ISP 求援 。 一 旦 信箱 被 轰炸 了 ,但 自己 又 没有 好 的 办 法 来 对 付 它 ， 这 时 应 该 向 
你 的 ISP 服务 商 求援 ， 他 们 会 采取 办 法 帮 你 清除 Emailbomb。 

(2) 采用 过 滤 功 能 。 在 邮件 软件 中 安装 一 个 过 滤器 〈 比 如 说 E-mail notify) 是 一 种 最 
有 效 的 防范 措施 。 在 接收 任何 电子 邮件 之 前 预先 检查 发 件 人 的 资料 , 如果 觉得 有 可 疑 之 处 ，、， / 
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可 以 将 其 删除 ， 不 让 它 进入 用 户 的 邮件 系统 。 但 这 种 做 法 有 时 会 误 删 一 些 有 用 的 邮件 。 如 
果 担 心 有 人 恶意 破坏 你 的 信箱 ， 给 你 发 来 一 个 “ 重 磅 炸弹 ”， 你 可 以 在 邮件 软件 中 启用 过 滤 
功能 ， 把 你 的 邮件 服务 器 设置 为 有 超过 你 信箱 容量 的 大 邮件 时 ， 自 动 进行 删除 。 

(3) 使 用 转 信 功能 。 有 些 邮 件 服务 器 为 了 提高 服务 质量 往往 设 有 “自动 转 信 ”功能 ， 
利用 该 功能 可 以 在 一 定 程度 上 解决 容量 特大 邮件 的 攻击 。 假 设 用 户 申请 了 一 个 转 信 信箱 ， 
利用 该 信箱 的 转 信 功 能 和 过 滤 功 能 ， 可 以 将 那些 不 愿意 看 到 的 邮件 统统 过 滤 掉 ， 删 除 在 邮 
件 服务 器 中 ， 或 者 将 垃圾 邮件 转移 到 自己 其 他 免费 的 信箱 中 ， 或 者 干脆 放弃 使 用 被 邦 炸 的 
邮箱 ， 另 外 重新 申请 一 个 新 的 信箱 。 

(4) 谨慎 使 用 自动 回信 功能 。 所 谓 “自动 回信 ”就 是 指 对 方 给 用 户 的 这 个 信箱 发 来 一 
封 信 而 用 户 没有 及 时 收取 的 话 ， 邮 件 系统 会 按照 用 户 事先 的 设 定 自动 给 发 信人 回复 一 封 确 
认 收 到 的 信件 。 这 个 功能 本 来 给 大 家 带 来 了 方便 ， 但 也 有 可 能 成 为 邮件 炸弹 。 试 想 一 下 ， 
如 果 给 用 户 发 信 的 人 使 用 的 邮件 账号 系统 也 开启 了 自动 回信 功能 ， 那 么 当 用 户 收 到 他 发 来 的 
信和 而 没有 及 时 收取 时 ， 用 户 的 系统 就 会 给 他 自动 发 送 一 封 确认 信 。 人 恰巧 他 在 这 段 时 间 也 没有 
及 时 收取 信件 ， 那 么 他 的 系统 又 会 自动 给 用 户 发 送 一 封 确认 收 到 的 信 。 如 此 一 来 ， 这 种 自动 
发 送 的 确认 信 便 会 在 双方 的 系统 中 不 断 重复 发 送 ， 直 到 把 用 户 双方 的 信箱 都 撑 爆 为 止 。 

(5) 用 专用 工具 来 对 付 。 如 果 用 户 的 邮箱 不 幸 已 经 “中 弹 ”， 而 且 用 户 还 想 继 续 使 用 
这 个 信箱 名 的 话 ， 可 以 用 一 些 邮 件 工具 软件 (如 PoP-It) 来 清除 这 些 垃圾 信息 。 这 些 清除 
软件 可 以 登录 到 邮件 服务 器 上 ， 使 用 其 中 的 命令 来 删除 不 需要 的 邮件 ， 保 留 有 用 的 信件 。 


8.4.2 ”扫描 工具 


扫描 工具 是 一 种 能 够 自动 检测 远程 或 本 地 主机 安全 弱点 的 程序 ， 通 过 它 可 以 获得 远程 
计算 机 的 各 种 端口 分 配 及 提供 的 服务 和 它们 的 版 本 。 扫 描 器 攻击 时 是 通过 选用 不 同 的 
TCP/IP 端口 的 服务 ， 并 记录 目标 主机 给 予 的 应 答 ， 以 此 搜集 到 关于 目标 主机 的 各 种 有 用 信 
息 ， 而 不 是 直接 进攻 ， 它 获取 的 信息 必须 经 过 人 为 的 分 析 才 能 成 为 真正 有 用 的 信息 。 当 然 ， 
这 需要 用 户 具 有 一 定 的 网 络 知识 ， 和 否则， 扫描 器 对 于 用 户 来 说 ， 将 毫 无 用 处 。 

下 面 介绍 两 种 著名 的 扫描 器 。 

1. 流光 

流光 是 国内 最 著名 的 扫描 、 入 侵 工具 ， 集 端口 扫描 、 字 典 工具 、 入 侵 工 具 、 口 令 猜 解 
等 多 种 功能 于 一 身 ， 界面 豪华 ,功能 强大 。 它 能 让 一 个 刚刚 会 用 鼠标 的 人 成 为 专业 级 黑客 。 
它 可 以 探测 POP3、FTP、SMTP、IMAP、SQL、IPC、IIS、FINGER 等 各 种 漏洞 ， 并 针对 
各 种 漏洞 设计 不 同 的 破解 方案 ， 能 够 在 有 漏洞 的 系统 上 轻易 得 到 被 探测 的 用 户 密码 。 流 光 
对 Windows 9x/NT/2000 上 的 漏洞 都 可 以 探测 ， 这 使 它 成 为 了 黑客 手中 必 备 的 工具 之 一 ， 其 
界面 如 图 8.2 所 示 。 

流光 的 功能 非常 强大 ， 它 支持 163/169 双 通 和 多 线程 检测 ， 支 持 高 效 的 用 户 流 模式 和 
高 效 服 务 器 流 模式 ， 可 同时 对 多 台 POP3/FTP 主机 进行 检测 ， 它 支持 最 多 500 个 线程 控 测 ， 
当 线程 超时 时 ， 阻 塞 线程 具有 自杀 功能 ， 不 会 影响 其 他 线程 。 流 光 还 支持 10 个 字典 同时 检 
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测 ， 并 且 检 测 设置 可 作为 项 目 保存 。 
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图 8.2 “流光 ” 主 界面 
2. SuperScan 


SuperScan 是 一 个 功能 强大 的 端口 扫描 工具 。 它 可 以 通过 ping 来 检验 目标 计算 机 是 否 
在 线 , 支持 IP 和 域名 相互 转换 ,还 可 以 检验 一 定 范围 内 目标 计算 机 的 端口 情况 和 提供 的 服 
务 类 别 。SuperScan 可 以 自 定义 要 检验 的 端口 ， 并 可 以 保存 为 端口 列表 文件 ， 它 还 自 带 了 一 
个 端口 列表 ， 通 过 这 个 列表 可 以 检测 目标 计算 机 是 否 有 木马 ， 同 时 用 户 也 可 以 自己 定义 、 
修改 以 上 木马 端口 列表 。 在 SuperScan 找到 的 主机 上 ， 单 击 鼠 标 右键 可 以 实现 HTTP 浏览 、 
Telnet 登录 、FTP 上 传 、 域 名 查询 等 功能 ， 其 界面 如 图 8.3 所 示 。 


5 SuperScan 4.0 
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图 8.3 SuperScan 4.0 界面 N\ YL1/ 


本 > 高 等 职业 教育 “十 二 五 ”规划 教材 S 


ee 第 8 章 黑客 的 攻击 与 防范 | ee 


SuperScan 扫描 时 的 速度 非常 快 ， 而 且 CPU 占用 率 也 非常 小 、 非 常平 稳 ， 甚 至 感觉 不 
到 它 的 运行 。 同时 , SuperScan 扫描 时 占用 的 带宽 也 非常 小 , 在 使 用 宽带 和 电话 拨号 网 络 时 ， 
几乎 没有 什么 差别 。SuperScan 很 适合 扫描 整个 网 段 中 的 特定 端口 ， 用 它 做 1 一 65535 端口 
范围 的 扫描 也 非常 适合 ， 所 以 ,许多 人 把 SuperScan 作为 了 扫描 主机 及 制作 Sock 代理 的 必 
备 工 具 。 其 缺点 是 扫描 时 ， 有 些 端口 无 法 扫描 到 。 


8.4.3 网络 监听 工具 


网 络 监听 是 一 种 常用 的 被 动 式 网 络 攻击 方法 ， 能 帮助 入 侵 者 轻易 获得 用 其 他 方法 很 难 
获得 的 信息 ， 包 括 用 户口 令 、 账 号 、 敏 感 数据 、IP 地 址 、 路 由 信息 、TCP 套 接 字号 等 ， 是 
类 似 “ 食 肉 动 物 ” 一 类 的 监听 软件 。 一 旦 成 功 地 登录 目标 网 络 上 的 一 台 主 机 ， 就 会 取得 该 
机 的 超级 用 户 权限 ， 而 且 往往 会 尝试 攻击 网 络 中 的 其 他 主机 ， 以 实现 对 整个 网 络 的 监听 。 

网 络 监听 通常 在 网 络 接口 处 截获 计算 机 之 间 通 信 的 数据 流 ， 是 进行 网 络 攻击 最 简单 、 
最 有 效 的 方法 。 它 具有 以 下 特点 : 

(1) 隐蔽 性 强 。 进 行 网 络 监听 的 主机 只 是 被 动 地 接收 网 上 传输 的 信息 ,没有 任何 主动 
的 行为 ， 既 不 修改 网 上 传输 的 数据 包 ， 也 不 往 链 路 上 插入 任何 数据 ， 很 难 被 网 络 管理 员 觉 
察 到 。 

(2) 手段 灵活 。 网 络 监听 可 以 在 网 上 的 任何 位 置 实施 ， 可 以 是 网 上 的 一 台 主机 、 路 由 
器 ， 也 可 以 是 调制 解 调 器 。 其 中 ， 网 络 监听 效果 最 好 的 地 方 是 在 网 络 中 某 些 具有 战略 意义 
的 位 置 ， 如 网 关 、 路 由 器 、 防 火 墙 之 类 的 设备 或 重要 网 段 ， 而 使 用 最 方便 的 地 方 是 在 网 络 
中 的 一 台 主 机 上 。 

正 因为 网 络 监听 具有 以 上 特点 ， 因 此 检测 非常 困难 ， 这 意味 着 更 大 的 安全 危害 。 虽 然 
成 功 检测 到 网 络 监听 的 难度 很 大 ， 但 网 络 监听 并 非 无 懈 可 击 ， 通 过 采取 积极 有 效 的 措施 ， 
能 够 发 现 它 的 蛛丝马迹 。 

首先 ， 监 听 非 常 消耗 CPU 资源 。 当 系统 运行 网 络 监听 软件 时 ， 系 统 因 负荷 过 重 ， 而 对 
外 界 的 响应 很 慢 。 因 此 ， 对 于 怀疑 运行 监听 程序 的 主机 ， 可 用 正确 的 瑟 地址 和 错误 的 物理 
地 址 去 探测 (如 Ping)， 运 行 监听 程序 的 主机 会 有 响应 。 这 是 因为 正常 的 主机 不 接收 错误 的 
物理 地 址 ， 而 处 于 监听 状态 的 主机 能 接收 。 另 外 ， 可 向 网 上 发 送 大 量 目的 地 址 根本 不 存在 
的 数据 包 ， 由 于 监听 程序 将 处 理 这 些 数据 包 ， 会 导致 主机 性 能 下 降 。 通 过 比较 该 主机 前 后 
的 性 能 ， 就 可 以 作出 判断 ， 但 这 种 方法 难度 较 大 。 目 前 ， 有 两 个 比较 可 行 的 办 法 : 一 是 搜 
索 网 上 所 有 主机 运行 的 进程 。 网 络 管理 员 使 用 UNIX 或 Windows NT 的 主机 ， 可 以 很 容易 
地 得 到 当前 进程 的 清单 ， 并 确定 是 否 有 一 个 进程 被 从 管理 员 主 机 上 启动 。 二 是 搜查 监听 程 
序 。 现 在 监听 程序 只 有 有 限 的 几 种 ， 管 理 员 可 以 检查 目录 ， 找 出 监听 程序 。 

还 有 两 个 方法 在 发 现 监听 方面 比较 有 效 ， 但 缺点 也 是 难度 较 大 : 一 是 检查 被 怀疑 主机 
中 是 否 有 一 个 随时 间 不 断 增长 的 文件 存在 ， 因 为 网 络 监听 输出 的 文件 通常 很 大 ， 且 随时 间 
不 断 增长 。 二 是 通过 运行 ipconfig 命令 , 检查 网 卡 是 否 被 设置 成 了 监听 模式 ; 或 使 用 ifstatus 
工具 ， 定 期 检测 网 络 接口 是 否 处 于 监听 状态 。 当 网 络 接口 处 于 监听 状态 时 ， 很 可 能 使 入 侵 


网 络 监听 的 防范 比较 困难 ， 通 常 可 采取 数据 加 密 和 网 络 分 段 两 种 方法 。 
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(1) 数据 加 密 。 数 据 加 密 的 优越 性 在 于 ， 即 使 攻击 者 获得 了 数据 ， 如 果 不 能 破译 ， 这 
些 数据 对 他 也 是 没有 用 的 。 一 般 而 言 ， 人 们 真正 关心 的 是 那些 秘密 数据 的 安全 传输 ， 使 其 
不 被 监听 和 偷 换 。 如 果 这 些 信 息 以 明文 的 形式 传输 ， 就 很 容易 被 截获 而 且 阅读 出 来 。 因 此 ， 
对 秘密 数据 进行 加 密 传输 是 一 个 很 好 的 办 法 。 

(2) 网 络 分 段 。 即 采用 网 络 分 段 技术 ,建立 安全 的 网 络 拓扑 结构 ， 将 一 个 大 的 网 络 分 
成 若干 个 小 的 网 络 ， 如 将 一 个 部 门 、 一 个 办 公 室 等 可 以 相互 信任 的 主机 放 在 一 个 物理 网 段 
上 ， 网 段 之 间 再 通过 网 桥 、 交 换 机 或 路 由 器 相连 ， 实 现 相互 隔离 。 这 样 ， 即 使 某 个 网 段 被 
监听 了 ， 网 络 中 其 他 网 段 还 是 安全 的 。 因 为 数据 包 只 能 在 该 子 网 的 网 段 内 被 截获 ， 网 络 中 
剩余 的 部 分 〈 不 在 同一 网 段 的 部 分 ) 则 被 保护 了 。 


8.5” 洁 客 攻 志 的 防范 


8.5.1 防止 黑客 攻击 的 措施 


各 种 黑客 的 攻击 程序 虽然 功能 强大 ， 但 并 不 可 怕 。 只 要 我 们 作 好 相应 的 防范 工作 ， 就 
可 以 大 大 降低 被 黑客 攻击 的 可 能 性 。 有 具体 来 说 ， 要 做 到 以 下 几 点 。 

1. 要 提高 安全 意识 

不 随意 打开 来 历 不 明 的 电子 邮件 及 文件 ， 不 随便 运行 不 太 了 解 的 人 给 的 程序 ， 防 止 运 
行 黑客 的 服务 器 程序 。 尽量 避 免 从 Intemet 下 载 不 知名 的 软件 、 游 戏 程序 。 即 使 从 知名 的 网 
站 下 载 的 软件 也 要 及 时 用 最 新 的 病毒 和 木马 查 杀 工具 对 软件 和 系统 进行 扫描 。 密 码 设置 尽 
量 能 使 用 字母 数字 混 排 ， 单 纯 的 英文 或 者 数字 很 容易 被 破解 。 常 用 的 若干 密码 不 应 设置 相 
同 ， 防 止 被 人 查 出 一 个 ， 连 带 到 重要 的 密码 ， 并 且 密 码 最 好 经 常 更 换 。 要 及 时 下 载 并 安装 
系统 补丁 程序 。 不 随便 运行 黑客 程序 。 

2. 使 用 反 黑 客 软件 


尽 可 能 经 常 性 地 使 用 多 种 最 新 的 、 能 够 查 解 黑客 的 杀毒 软件 或 可 靠 的 反 黑客 软件 来 检 
查 系 统 。 必 要 时 应 在 系统 中 安装 具有 实时 检测 、 拦 截 、 查 解 黑客 攻击 程序 的 工具 。 


3. 使 用 防火 墙 
防火 墙 是 抵御 黑客 程序 入 侵 的 非常 有 效 的 手段 。 它 通过 在 网 络 边界 上 建立 起 来 的 相应 
网 络 通信 监控 系统 来 隔离 内 部 和 外 部 网 络 ， 可 阻挡 外 部 网 络 的 入 侵 和 攻击 。 
4. 要 安装 杀毒 软件 
要 将 防毒 、 防 黑 当成 日 常 例 行 工作 ， 定 时 更 新 防毒 组 件 ， 及 时 升级 病毒 库 ， 将 防毒 软 
件 保 持 在 常 驻 状态 ， 以 彻底 防毒 。 
5. 作 好 数据 的 备份 
确保 重要 数据 不 被 破坏 的 最 好 办 法 就 是 定期 或 不 定期 的 备份 数据 ， 特 别 重要 的 数据 应 
该 每 天 备份 。 ~、 
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6.， 隐藏 自 己 的 人 P 

保护 自己 的 下 地址 是 很 重要 的 。 事实 上 ， 即 便 用 户 的 机 器 上 被 安装 了 木马 程序 ， 若 没 
有 用 户 的 IP 地址， 攻击 者 也 是 没有 办 法 的 ， 而 保护 IP 地 址 的 最 好 方法 就 是 设置 代理 服务 
器 。 代 理 服 务 器 能 起 到 外 部 网 络 申请 访问 内 部 网 络 的 中 间 转 接 作用 ， 其 功能 类 似 于 一 个 数 
据 转发 器 ， 它 主要 控制 哪些 用 户 能 访问 哪些 服务 类 型 。 

总 之 ， 我 们 应 当 认 真 制定 有 针对 性 的 策略 ; 明确 安全 对 象 ， 设 置 强 有 力 的 安全 保障 体 
系 ; 在 系统 中 层 层 设防 ， 使 每 一 层 都 成 为 一 道 关 卡 ， 从 而 让 攻击 者 无 颖 可 钻 、 无 计 可 施 。 


8.5.2 发现 黑客 入 侵 后 的 对 策 


1. 估计 受害 形势 ， 发 出 攻击 警报 

当 确 认 系统 受到 入 侵 时 ， 首 先是 尽 可 能 快 地 估计 入 侵 造成 的 破坏 程度 。 当 系统 遇 到 严 
重 破坏 或 不 能 正常 运行 时 ， 向 公安 部 门 和 信息 安全 部 门 报告 ， 以 便 通 过 司法 手段 解决 问题 。 

2. 采取 措施 

(1) 杀 死 这 个 进程 以 切断 黑客 与 系统 的 连接 。 必 要 时 ， 切 断 网 络 连接 ， 同 时 ， 注 意 保 
存 现 场 ， 以 便 事 后 调查 原因 并 进行 分 析 。 

(2) 使 用 安全 工具 跟踪 这 个 连接 , 找 出 黑客 的 来 路 和 身份 , 询问 他 们 究竟 想 要 做 什么 ， 
发 出 警告 。 

(3) 管理 员 可 以 使 用 一 些 工具 来 监视 黑客 ， 观 察 他 们 在 做 什么 。 

3. 使 用 网 络 工具 

可 以 通过 网 络 安全 工具 找到 入 侵 者 从 哪个 主机 过 来 ， 然 后 查看 哪些 用 户 登 录 进 入 远程 
系统 。 

4. 修复 漏洞 

修复 安全 漏洞 并 恢复 系统 ， 不 给 黑客 可 乘 之 机 。 


本 享 小 仑 


黑客 是 指 那些 利用 计算 机 的 某 些 技术 及 其 他 手段 ， 恶 意 地 进入 其 非 授权 范围 以 内 的 计 
算 机 或 网 络 空间 的 人 。 

黑客 攻击 的 目的 主要 包括 获取 目标 系统 的 非法 访问 、 获 取 所 需 资 料 、 自 改 有 关 数 据 及 
利用 有 关 资 源 。 黑 客 的 攻击 手段 包括 特洛伊 木马 攻击 、Web 欺骗 、 口 令 攻击 、 缓 冲 区 溢出 、 
端口 扫描 攻击 等 几 种 主要 的 方法 。 对 常见 攻击 方法 的 了 解 ， 将 有 助 于 用 户 达到 有 效 防 黑 的 
目的 。 

掌握 常见 的 木马 程序 、 扫 描 工具 、 破 解 工具 、 炸 弹 工 具 及 安全 防御 工具 的 特点 和 使 用 
方法 ， 作 好 相应 的 防 黑 措施 ， 设 置 强 有 力 的 安全 保障 体系 ， 就 可 以 大 大 降低 被 黑客 攻击 的 


可 能 性 。 
\y/ 
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一 、 填 空 是 
1. 通常 黑客 攻击 的 3 个 阶段 是 和 


2. 常见 的 黑客 攻击 方法 有 SE 
等 。 
3 特洛伊 林 马 是 一 种 黑客 程序 ， 它 一 般 包括 两 个 程序 : 一 个 是 人 全 二 个 


是 


4. 传播 木马 的 方式 主要 有 两 种 : 一 种 是 通过 ， 另 一 种 是 
5. 扫描 工具 是 的 程序 。 


二 、 选 择 题 


.如 果 每 次 打开 Word 程序 编辑 文档 时 ， 计 算 机 都 会 把 文档 传送 到 一 台 FTP 服务 器 ， 
Sn 怀疑 Word 程序 已 经 被 黑客 植 入 


A. 蠕虫 B. FTP 程序 C. 特洛伊 木马 D. 陷 门 
2. 以 下 网 络 攻击 中 ， 不 属于 主动 攻击 。 

A. 重 放 攻 击 B. 拒绝 服务 攻击 

C. 通信 量 分 析 攻 击 . 假冒 攻击 


eon OT 
序 使 系统 响应 减 慢 甚至 瘫痪 。 这 种 攻击 叫做 网 

A. 重 放 攻 击 B. 反射 攻击 C. 拒绝 服务 攻击 D. 服务 攻击 
4. 不 属于 防止 口令 猜测 的 措施 。 

A. 严格 限定 从 一 个 给 定 的 终端 进行 非法 认证 的 次 数 

B. 确保 口令 不 在 终端 上 再 现 

C. 防止 用 户 使 用 太 短 的 口令 

D. 使 用 机 器 产生 的 口令 
5. 在 网 络 安全 中 ， 窃 取 是 指 未 授权 的 实体 得 到 了 资源 的 访问 权 ， 


A. 用 性 的 攻击 。 B， 整 性 的 攻击 C. 密 性 的 攻击 实 性 的 攻击 
二 简 答 题 

1. 什么 是 黑客 ? 

2. 黑客 攻击 的 目的 什么 ? 

3 简 述 黑客 攻击 的 步 又 。 

4. 列举 一 些 黑客 攻击 所 采用 的 方法 ， 并 做 简单 分 析 。 
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5. 常见 的 木马 工具 有 哪些 ? 它们 是 怎样 运行 的 ? 
6. 在 使 用 计算 机 时 ， 应 采取 哪些 防 黑 措施 ? 


本 半 实 训 


实 训 1 端口 扫描 软件 SuperScan 的 使 用 
实 训 目 的 
(1) 掌握 端口 扫描 软件 SuperScan 的 使 用 方法 。 
(2) 掌握 通过 端口 扫描 软件 发 现 、 分 析 系 统 漏洞 的 能 力 。 
实 训 环境 
(1) 连 上 Intemet 网 络 的 一 台 计算 机 。 
(2) 端口 扫描 软件 SuperScan 4.0。 
操作 步骤 
第 1 步 : 扫描 他 地 址 。 
下 载 并 解压 SuperScan 4.0 后 ， 双 击 SuperScan.exe， 开 始 安装 。 打 开 主 界面 ， 默 认 选 择 
“扫描 ”(Scan)〉 选 项 卡 ， 人 允许 用 户 输 入 一 个 或 多 个 主机 名 或 PP 范围 。 也 可 以 单 击 “ 从 文 


件 读 取 IP 地 址 ”按钮 ， 从 文件 中 选择 输入 地 址 列表 。 输 入 主机 名 或 PP 范围 后 ， 单 击 “ 
始 扫描 ”按钮 ，SuperScan 将 开始 扫描 地 址 ， 如 图 8.4 所 示 。 


a SPOS 


扫描 。 | 主机 和 和 服务 扫描 设置 | 扫描 选项 | 工具 ”| Windows 权 举 | 关于 “| 
IP 地 址 
主机 名 /TP 
开始 I 又 || 192 .168 .0 A 

结束 IP X|[ i 66.0 .350 | 


从 文件 读 职 IP 地 址 > 


EE 


A y 图 8.4 SuperScan 在 指定 的 卫 范围 内 扫描 


- 多 一 高等 职业 教育 “十 二 五 ”规划 教材 a @ 


扫描 进程 结束 后 ，SuperScan 将 提供 一 个 主机 列表 , 提供 关于 每 台 扫描 过 的 主机 被 发 现 
的 开放 端口 的 信息 ， 如 图 8.5 所 示 。SuperScan 还 可 以 选择 以 HTML 格式 显示 信息 。 


EE TT 
| 文件 ”编辑 (查看 VW) 收藏 A) 工具 (D 帮助 (H) 
开本 ET 
地 tt 。 | rents nd setnospannuaon 帮 而 eport hl] 公转 到 | | 细毛 


Jaco A 
习 
SuperScan Report - 06/18/04 22:21:41 


同志 i] 加 


图 8.5 _ SuperScan 显示 扫描 了 哪些 主机 和 在 每 台 主机 上 哪些 端口 是 开放 的 


第 2 步 : 主机 和 服务 器 扫描 设置 。 
步骤 1 是 从 一 群 主机 中 执行 简单 的 扫描 , 然而 很 多 时 候 需 要 定制 扫描 
机 和 服务 器 扫描 设置 ”选项 卡 ， 这 个 选项 卡 在 扫描 时 可 以 看 到 更 多 信息 ， 


5 lc， 


。 此 时 应 选择 “ 主 
如 图 8-6 所 示 。 


扫 撕 主机 和 服务 扫描 设置 | 扫描 选项 | 工具 | Windows 权 举 | 关于 | 


人 查找 主机 超时 设置 ms) [2000 


UpP 端口 扫描 超时 设置 ns) 2000 


FE 本 3 Dot Date + ICHP 


结束 端口 
从 妇 人 于 了 身 口 | | 时 -A 


TCP 端口 扫 撕 超时 设置 ws) |4000 


开始 注 品 3 全 扫 符 类 型 “ 直接 连接 6 sn 


结束 端口 
从 文件 读 职 端口 -> 


厂 使 用 静 志 请 品 


恢复 默认 值 @) 


图 8.6 “主机 和 服务 器 扫描 设置 ”选项 卡 
在 选项 卡 顶部 是 “查找 主机 ”选项 ， 发 现 主机 的 默认 方法 是 通过 回 


显 请 求 。 通 过 选 


择 和 取消 各 种 可 选 的 扫描 方式 选项 ， 也 能 够 通过 利用 时 间 戳 请 求 、 地 世 


掩 码 请 求 和 信息 


请 求 来 发 现 主机 。 应 该 注意 的 是 ， 用 户 选择 的 选项 越 多 ， 那 么 扫描 所 用 的 时 间 就 越 长 。 如 
果 用 户 试图 尽量 多 的 收集 一 个 明确 的 主机 的 信息 ， 建 议 首先 执行 一 次 常规 的 扫描 以 发 现 主 
机 , 然后 再 利用 可 选 的 请 求 选项 来 扫描 。 在 选项 卡 的 下 半 部 , 包括 “UDP 端口 扫描 ”和 “TCP 
端口 扫描 ”选项 。 通 过 屏幕 的 截图 ， 注 意 到 SuperScan 最 初 开始 扫描 的 仅仅 是 那 几 个 最 普 
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通 的 常用 端口 。 原 因 是 有 超过 65000 个 的 TCP 和 UDP 端口 ， 若 对 每 个 可 能 开放 端口 的 卫 
地 址 进行 超过 130000 次 的 端口 扫描 ， 那 将 需要 很 长 的 时 间 。 因 此 SuperScan 最 初 开 始 扫 描 
的 仅仅 是 那 几 个 最 普通 的 常用 端口 ， 但 给 用 户 扫描 额外 端口 的 选项 。 

第 3 步 : 使 用 “扫描 选项 ”(Scan Options) 选项 卡 。 

“扫描 选项 ”选项 卡 允许 进一步 地 控制 扫描 进程 ， 如 图 8.7 所 示 。 选 项 卡 中 的 首选 项 是 
定制 扫描 过 程 中 主机 和 通过 审查 的 服务 数 。1 是 默认 值 ， 一 般 来 说 足够 了 ， 除 非 不 太 可 靠 。 


5 ET 


扫描 ”| 主机 和 服务 扫描 设置 扫描 选项 | 工具 ”| Wndows 权 举 | 关于 | 


检测 开放 主机 次 数 
检测 开放 服务 次 数 


习 可 本 


1 
1 


f 查找 主机 名 
解析 通过 次 数 


太 获取 标志 
TCE 超 时 ps) 
ImP 超 时 ns) 


本 机 IF (用 于 SY 时 3 描 ) |Default 可 


f 隐 芯 没有 开放 端口 的 主机 
克 使 用 随机 IP 和 端口 扫描 次 序 


图 8.7 “扫描 选项 ”选项 卡 


接 下 来 的 “解析 通过 次 数 ” 选 项 ， 能 够 设置 主机 名 解析 的 数量 。 同 样 ， 数 量 1 足够 了 ， 除 
非 用 户 的 连接 不 可 靠 。 另 一 个 选项 是 “获取 标志 ”的 设置 ,“ 获 取 标 志 ” 是 根据 显示 一 些 信息 
尝试 得 到 远程 主机 的 回应 。 默 认 的 延迟 是 8000ms， 如 果 用 户 所 连接 的 主机 较 慢 ， 这 个 时 间 就 
显得 不 够 长 。 

旁边 的 滑 块 是 扫描 速度 调节 选项 ， 能 够 利用 它 来 调节 SuperScan 在 发 送 每 个 包 时 所 要 
等 待 的 时 间 。 最 快 的 扫描 ， 当 然 是 调节 滑 块 为 0。 可 是 ， 扫 描 速 度 设 置 为 0， 有 包 洪 出 的 潜 
在 可 能 ,如 果 用 户 担 心 由 于 SuperScan 引起 的 过 量 包 溢出 , 最 好 调 慢 SuperScan 的 扫描 速度 。 

第 4 步 : 使 用 “工具 ”(Tools) 选项 卡 。 

使 用 SuperScan 的 “工具 ”(Tools) 选项 卡 可 以 使 用 户 很 快 地 得 到 许多 关于 一 个 明确 的 
主机 信息 。 正 确 地 输入 主机 名 或 者 他 地 址 和 默认 的 连接 服务 器 ， 然 后 单 击 用 户 想 要 得 到 的 相关 
信息 的 按钮 .如 用 户 Ping 一 台 服 务 器 或 traceroute 和 发 送 一 个 HITP 请 求 , 其 界面 如 图 8.8 所 示 。 

第 5 步 : 使 用 “Windows 枚 举 ” 选 项 卡 。 

最 后 的 功能 选项 是 “Windows 枚 举 ”， 就 像 用 户 猜 测 的 一 样 ， 如 果 用 户 设法 收集 的 信息 
是 关于 Linux/UNIX 主机 的 ， 那 该 选项 就 没什么 用 。 但 若 用 户 需 要 Windows 主机 的 信息 ， 它 
确实 很 方便 。 如 图 8.9 所 示 ， 其 能 够 提供 从 单个 主机 到 用 户 群 组 ， 再 到 协议 策略 的 所 有 信息 。 
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图 8.8 “工具 ”(Tools) 选项 卡 


扫 六 | 主机 和 服务 扫描 设置 | 扫 擅 选项 | 工具 。 开 ndows 枚 举 | 关于 | 


主机 名 NIP/URU 权 举 @ |」 选项 四 ) 清除 吕 ) 
枚 举 基 型 

加 WetBIOs Wone Table 
回 mu Sossion 

加 Wc Addresses 

加 Yorkstation type 


加 Renote Tine of Day 
回 Logon Sessions 

回 nrives 

加 Trasted Dosins 
回 sevices 

回 aezistry 


图 8.9 “Windows 枚 举 ” 选 项 卡 
实 训 2 冰河 木马 分 析 与 清除 


实 训 目 的 


(1) 了 解 远程 控制 的 基本 原理 。 
(2) 熟悉 冰河 木马 的 功能 。 


实 训 环境 
(1) 一 台 可 以 连 上 Intemet 的 计算 机 。 NA 
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(2) Windows XP/2000/2003 操作 系统 。 

操作 步骤 

第 1 步 : 安装 并 控制 远程 目标 。 

安装 冰河 木马 ， 并 将 冰河 木马 服务 器 端 植 入 目标 计算 机 。 

第 2 步 : 跟踪 目标 。 

通过 服务 器 端 自动 跟踪 目标 机 屏幕 变化 的 同时 可 以 完全 模拟 键盘 及 鼠标 输入 ， 即 在 同 
步 被 控 端 屏幕 变化 的 同时 ， 监 控 端 的 一 切 键盘 及 鼠标 操作 将 反映 在 被 控 端 屏幕 上 【局域网 
适用 )。 

第 3 步 : 记录 各 种 口令 信息 。 

其 包括 开机 口令 、 屏 保 口令 、 各 种 共享 资源 口令 及 绝 大 多 数 在 对 话 框 中 出 现 过 的 口令 
信息 。 
第 4 步 : 获取 系统 信息 。 
其 包括 计算 机 名 、 注 册 公 司 、 当 前 用 户 、 系 统 路 径 、 操 作 系统 版 本 、 当 前 显示 分 辨 率 、 
物理 及 逻辑 磁盘 信息 等 多 项 系统 数据 。 

第 5 步 : 远程 文件 操作 。 

其 包括 创建 、 上 传 、 下 载 、 复 制 、 删 除 文件 或 目录 、 文 件 压缩 、 快 速 浏览 文本 文件 、 
远程 打开 文件 等 多 项 文件 操作 功能 。 

第 6 步 : 注册 表 操 作 。 

其 包括 对 主键 的 浏览 、 增 删 、 复 制 、 重 命名 和 对 键 值 的 读 写 等 所 有 注册 表 操 作 功 能 。 

第 7 步 : 发 送信 息 。 

以 4 种 常用 图 标 向 被 控 端 发 送 简短 信息 。 

第 8 步 : 冰河 木马 的 清除 。 

(1) 冰河 控制 端 可 以 自动 卸载 。 

(2) 手动 清除 方法 : 删除 注册 表 中 Kemel32.exe 的 键 值 ， 修 改 相关 文本 文件 的 关联 ; 
在 DOS 模式 下 将 Sysexplrexe 和 Kemel32.exe 的 隐藏 属性 改 为 只 读 ， 然 后 删除 它们 。 


> 了解 HTTP 协议、HTML 语言 。 
> 熟悉 服务 器 的 安全 策略 。 
> 熟悉 浏览 器 、 服 务 器 的 安全 问题 。 


> 熟练 掌握 下 浏览 器 的 安全 设置 方法 。 
> 熟练 掌握 Web 服务 器 的 安全 设置 方法 。 
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Web 作为 ntemet 的 一 项 重要 的 应 用 被 广泛 使 用 ， 它 的 安全 性 是 必须 要 考虑 的 问题 。 
9.1 Web 概 鞍 


万 维 网 (World Wide Web，WWW) 是 互联 网 上 发 展 最 快 同时 又 使 用 最 多 的 一 项 服务 ， 
它 可 以 提供 包括 文本 、 图 形 、 声 音 和 视频 等 在 内 的 多 媒体 信息 。 

万 维 网 起 源 于 1989 年 欧洲 粒子 物理 研究 所 CERN， 其 目的 是 收集 时 刻 变化 的 报告 、 
蓝图 、 绘 制图 、 照 片 和 其 他 文献 。 链 接 文档 的 万 维 网 Web 的 最 初 计划 是 由 CERN 的 物理 学 
家 Tim Bermers-Lee 于 1989 年 3 月 提出 的 ， 第 一 个 原型 (基于 文本 的 ) 于 18 个 月 后 运行 。 
1991 年 12 月 在 德 克 萨 斯 州 的 圣安东尼奥 (San Antonio) 91 超 文本 会 议 上 进行 了 一 次 公开 
演示 ， 次 年 继续 发 展 ， 并 于 1993 年 2 月 ， 在 第 一 个 图 形 界面 Mosaic 发 布 时 达到 了 其 发 展 
的 高 峰 。 到 今天 WWW 已 经 成 了 互联 网 上 不 可 缺少 的 技术 。 


9.1.1 Web 简介 


Web 是 一 种 典型 的 分 布 式 应 用 结构 。Web 应 用 中 的 每 一 次 信息 交换 都 要 涉及 客户 端 和 
服务 端 。 因 此 ，Web 开发 技术 大 体 上 也 可 以 被 分 为 客户 端 技术 和 服务 端 技术 两 大 类 。 

WWW 由 遍布 互联 网 中 的 被 称 为 WWW 服务 器 (又 称 为 Web 服务 器 ) 的 计算 机 组 成 。 
Web 是 一 个 容纳 各 种 类 型 信息 的 集合 ， 从 用 户 的 角度 看 ， 万 维 网 由 庞大 的 、 世 界 范围 的 文 
档 集合 而 成 ， 简 称 为 页 面 。 页 面具 有 严格 的 格式 ， 页 面 是 用 超 文本 标识 语言 (Hyper Text 
Markup Language，HTML ) 写成 的 ， 存 放 在 Web 服务 器 上 。 每 一 页 面 可 以 包含 到 世界 上 任 
何 地 方 的 其 他 相关 页 面 的 超 链接 (Hyperlink)， 这 种 能 够 指向 其 他 页 面 的 页 称 为 超 文本 
(Hypertext)。 用 户 可 以 跟随 一 个 超 链 接 到 其 所 指向 的 其 他 页 面 ， 并 且 这 一 过 程 可 以 被 无 限 
次 的 重复 。 通 过 这 种 方法 可 浏览 无 数 互相 链接 的 信息 。 

用 户 使 用 浏览 器 总 是 从 访问 某 个 主页 开始 的 。 由 于 主页 中 包含 了 超 链接 ， 因 此 可 以 指 
向 另外 的 页 面 ， 这 样 就 可 以 查看 大 量 的 信息 。 下 面 我 们 来 看 一 下 WWW 中 常用 的 一 些 术语 
及 其 意义 。 

1.， 超 文本 标记 语言 (HTML ) 

HTML 是 ISO 标准 8879 一 一 标准 通用 标识 语言 (Standard Generalized Markup Language， 
SGML) 在 万 维 网 上 的 应 用 。 所 谓 标识 语言 就 是 格式 化 的 语言 ,存在 于 WWW 服务 上 的 页 ， 
是 用 HTML 描述 的 ， 它 使 用 一 些 约定 的 标记 对 WWW 的 文字 、 图 形 、 动 画 、 声 音 、 表 格 、 
链接 、 小 游戏 等 进行 描述 。 当 用 户 浏 览 WWW 上 的 信息 时 ， 浏 览 器 会 自动 地 解释 这 些 标记 
的 含义 ， 并 将 其 显示 为 用 户 在 屏幕 上 所 看 到 的 网 页 。 

一 个 HTML 文本 包括 文件 头 (HEAD) 和 文件 主体 (BODY) 两 部 分 。 其 结构 如 下 : 


<HIML> 
<HEAD> 


yy 
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</HEAD> 
<BODY> 

</BODY> 
</HIMI> 


其 中 , <HTMI> 表 示 页 的 开始 , </HTMIL> 表 示 的 页 结束 , 它们 是 成 对 使 用 的 ; <HEAD> 
表示 头 的 开始 ，</HEAD> 表 示 头 的 结束 ; <BODY> 表 示 主 体 的 开始 ，</BODY> 表 示 主 体 的 
结束 ， 它 们 之 间 的 内 容 才 会 在 浏览 器 的 正文 中 显示 出 来 。HTML 的 标识 符 有 很 多 ， 用 户 可 
以 查看 有 关 网 页 制作 方法 的 书籍 进行 了 解 。 

2. 超 文本 传输 协议 ( HTTP ) 


超 文本 传输 协议 (Hypertext Transfer Protocol，HTTP) 是 分 布 式 、 协 作 式 、 超 媒体 系 
统 应 用 之 间 的 通信 协议 ， 是 万 维 网 (World Wide Web) 交换 信息 的 基础 。 

它 人 允许 将 超 文本 标记 语言 (HTML) 文档 从 Web 服务 器 传送 到 Web 浏览 器 。HTML 是 
一 种 用 于 创建 文档 的 标记 语言 ， 这 些 文档 包含 到 相关 信息 的 链接 。 用 户 可 以 单 击 一 个 链接 
来 访问 其 他 文档 、 图 像 或 多 媒体 对 象 ， 并 获得 关于 链接 项 的 附加 信息 。 

HTTP 工作 在 TCP/IP 协议 体系 中 的 TCP 协议 上 。 

客户 机 和 服务 器 必须 都 支持 HTTP， 才 能 在 万 维 网 上 发 送 和 接收 HTML 文档 并 进行 
交互 。 

3， 统 一 资源 定位 器 ( URL) 

统一 资源 定位 器 URL (Uniform Resource Locator) 是 为 了 能 够 使 客户 端 程序 查询 不 同 
的 信息 资源 时 有 统一 访问 方法 而 定义 的 一 种 地 址 标识 方法 。 

万 维 网 是 以 页 面 的 形式 来 组 织 信息 的 。 那 么 怎样 来 识别 不 同 的 页 面 、 怎 样 才能 知道 页 
面 在 哪个 位 置 ， 以 及 如 何 访问 页 面 呢 ? 为 了 解决 这 个 问题 ， 万 维 网 采用 了 统一 资源 定位 器 
URL 的 方法 。 

URL 是 在 互联 网 上 唯一 确定 资源 位 置 的 方法 ， 其 基本 格式 如 下 : 

协议 : // 主 机 域名 /资源 文件 名 


其 中 ,协议 (Protocal〉 用 来 指明 资源 类 型 ， 除 了 万 维 网 用 的 HTTP 协议 外 ， 还 可 以 是 
FTP、TELNET 等 ; 主机 域名 表示 资源 所 在 机 器 的 DNS 名 字 ; 资源 文件 名 用 以 提出 资源 在 
所 在 机 器 上 的 位 置 ， 包 含 路 径 和 文件 名 ， 通 常 是 “目录 名 /目录 名 /文件 名 ”， 也 可 以 不 含 路 
径 。 例 如 ， 新 浪 网 的 WWW 主页 的 URL 就 表示 为 : http://www.sina.com.cn/index.htm。 

在 输入 URL 时 , 资源 类 型 和 服务 器 地 址 不 分 字母 的 大 小 写 , 但 目录 和 文件 名 则 可 能 区 
分 字母 的 大 小 写 。 这 是 因为 大 多 数 服务 器 安装 了 UNIX 操作 系统 ， 而 UNIX 的 文件 系统 是 
区 分 文件 名 大 小 写 的 。 


9.1.2 Web 服务 器 


Web 服务 器 也 称 为 WWW 服务 器 ， 主 要 功能 是 提供 网 上 信息 浏览 服务 。 
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Web 服务 器 是 一 种 被 动 程序 ， 只 有 当 Intemet 上 运行 在 其 他 计算 机 中 的 浏览 器 发 出 请 
求 时 ， 服 务 器 才 会 响应 。 

最 常用 的 Web 服务 器 是 Apache 和 Microsoft 的 Intemet 信息 服务 器 (Interet Information 
Server, IIS)。 

Intemet 上 的 服务 器 也 称 为 Web 服务 器 ， 是 一 台 在 Intemet 上 具有 独立 IP 地 址 的 计算 
机 ， 可 以 向 Intemet 上 的 客户 机 提供 WWW、E-mail 和 FTP 等 各 种 ntemet 服务 。 


9.1.3 Web 浏览 器 


Web 浏览 器 是 阅读 Web 上 信息 的 客户 端的 软件 。 如 果 用 户 在 本 地 机 器 上 安装 了 Web 

浏览 器 软件 ， 就 可 以 读 取 Web 上 的 信息 了 。 

Web 浏览 器 在 网 络 上 与 Web 服务 器 打交道 ， 从 服务 器 上 下 载 和 获取 文件 。Web 浏览 
器 有 多 种 ， 它 们 都 可 以 浏览 Web 上 的 内 容 ， 只 不 过 所 支持 的 协议 标准 以 及 功能 特性 各 有 
异同 罢了 。 绝 大 部 分 的 浏览 器 都 运用 了 图 形 用 户 界 面 。 目 前 常用 的 Web 浏览 器 包括 
Microsoft Internet Explorer、Netscape Navigator、Netscape Communicator、Opera、Mosaic、 
Lynx 等 。 


9.2 Web 的 实 全 风险 


9.2.1 Web 的 安全 体系 结构 


Web 的 安全 有 很 多 因素 需要 考虑 , 如 Web 服务 器 的 安全 、Web 服务 器 所 在 的 网 络 安全 、 
Web 浏览 器 的 无 境 用 户 的 安全 风险 等 。 

Web 赖 以 生存 的 环境 包括 计算 机 硬件 、 操 作 系 统 、 计 算 机 网 络 及 相应 的 网 络 服务 和 应 
用 , 所 有 这 些 都 存在 着 安全 隐患 , 最 终 威胁 到 Web 的 安全 。Web 的 安全 体系 结构 非常 复杂 ， 
主要 包括 以 下 几 个 方面 。 

(1) 客户 端 软 件 〈 即 Web 浏览 器 软件 ) 的 安全 。 

(2) 运行 浏览 器 的 计算 机 设备 及 其 操作 系统 的 安全 (主机 系统 的 安全 )。 

(3) 客户 端的 局 域 网 (LAN)。 

(4) Intemet。 

(5) 服务 器 端的 局 域 网 (LAN)。 

(6) 服务 器 端的 计算 机 设备 及 操作 系统 的 安全 (主机 系统 的 安全 )。 

(7) 服务 器 上 的 Web 服务 器 软件 。 

在 分 析 Web 服务 器 的 安全 性 时 ， 要 充分 考虑 上 述 影响 Web 服务 器 安全 性 的 几 个 方面 ， 
其 中 安全 性 最 差 的 将 决定 Web 服务 器 的 安全 级 别 。 影 响 Web 安全 的 最 直接 的 因素 主要 是 
Web 服务 器 软件 及 支撑 服务 器 运行 的 操作 系统 的 安全 。 
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9.2.2 Web 服务 器 的 安全 风险 


现在 ， 随 着 开放 系统 的 发 展 和 Intemet 的 延伸 ， 技 术 间 的 交流 变 得 越 来 越 容易 ， 同 时 ， 
人 们 也 更 容易 获取 功能 强大 的 攻击 安全 系统 的 工具 软件 ， 另 一 方面 ， 由 于 人 才 流 动 频繁 ， 
掌握 系统 安全 情况 的 有 关 人 员 可 能 会 成 为 无 关 人 员 ， 从 而 使 得 系统 安全 秘密 的 扩散 成 为 
可 能 。 

Web 服务 器 的 安全 风险 ， 主 要 来 自 以 下 几 个 方面 。 

(1) 能 否 保证 公布 信息 的 真实 、 完 整 。 维 护 公 布 信息 的 真实 性 和 完整 性 是 Web 服务 
器 最 基本 的 要 求 。Web 服务 器 在 一 定 程度 上 是 站 点 拥有 者 的 代言 人 人， 代表 拥有 者 的 形象 。 
如 果 公 布 的 信息 被 人 算 改 ， 可 能 会 使 信息 遭 到 破坏 ， 无 法 实现 真正 的 提供 信息 的 服务 ， 甚 
至 会 加 剧 用 户 和 站 点 拥有 者 的 矛盾 或 者 影响 站 点 的 形象 。 

(2) Web 服务 能 否 安全 可 用 。 由 于 系统 本 身 可 能 出 现 的 问题 以 及 他 人 的 恶意 破坏 ， 可 
能 会 造成 用 户 不 能 够 获得 Web 服务 , 或 者 不 能 保证 Web 的 服务 确实 有 效 ; 另 一 方面 ， 需 要 
保证 所 提供 的 服务 是 可 信 的 ， 尤 其 是 金融 或 者 电子 商务 的 站 点 。 

(3) 能 否 很 好 地 保证 Web 访问 者 的 隐私 。 要 想 取得 用 户 的 信赖 ， 使 其 放心 使 用 Web 
服务 器 的 前 提 ， 首 先 要 保护 Web 访问 者 的 隐私 。 服 务 器 上 一 般 保留 着 用 户 的 个 人 信息 ， 
诸如 用 户 IP 地 址 、 电 子 邮件 地 址 、 所 用 计算 机 名 称 、 单 位 名 称 、 计 算 机 简单 说 明 、 所 访 
问 页 面 内 容 、 访 问 时 间 、 传 输 数 据 量 ， 甚 至 个 人 的 信用 卡号 码 等 信息 。 一 般 情况 下 ， 用 
户 不 希望 自己 的 隐私 被 别人 发 现 甚至 利用 。 

(4) Web 服务 器 可 能 会 被 入 侵 者 作为 “跳板 ”使 用 。Web 服务 器 最 基本 的 要 求 是 保护 
自己 和 Web 浏览 器 用 户 。 但 常 有 非法 入 侵 者 将 Web 服务 器 作为 “跳板 ”使 用 来 进一步 入 侵 
内 部 网 络 或 进一步 危害 其 他 网 络 。 


9.2.3 Web 浏览 器 的 安全 风险 


Web 浏览 器 为 用 户 提供 了 一 个 功能 强大 、 简 单 实用 的 图 形 化 的 界面 ， 使 用 户 不 必 经 过 
专业 化 训练 就 可 轻松 自如 地 在 网 络 的 海洋 里 冲浪 。 它 是 目前 网 络 上 应 用 最 多 的 工具 之 一 。 

但 使 用 Web 浏览 器 获取 信息 时 ， 也 是 有 安全 风险 的 ， 主 要 有 浏览 器 URL 地 址 栏 其 驴 
攻击 、 浏览 器 URL 状态 栏 欺骗 攻击 、 浏 览 器 页 面 标签 欺骗 攻击 、 浏 览 器 页 面 解析 欺 驴 攻 击 、 
浏览 器 插件 安全 、 浏 览 器 本 地 存储 安全 、 浏 览 器 安全 策略 被 绕 过 、 浏 览 器 隐私 安全 、 浏 览 
器 差异 等 带 来 的 安全 风险 。 

例如 ， 某 浏览 器 的 用 户 单 击 鼠 标 ， 想 要 看 看 新 闻 ， 查 找 一 下 资料 ， 浏 览 一 下 某 公司 的 
主页 ， 当 一 张 张 精 彩 的 网 页 出 现在 计算 机 屏幕 上 时 ， 同 时 ， 浏 览 器 程序 可 能 已 经 把 某 些 信 
息 传送 给 网 络 上 的 某 一 台 计算 机 ， 这 台 计 算 机 可 能 在 世界 的 另 一 个 角落 。 网 页 通过 网 络 传 
到 浏览 器 计算 机 中 时 ， 传 来 的 内 容 有 的 是 浏览 器 用 户 需 要 的 、 能 够 看 到 的 ， 但 是 同时 还 有 
浏览 ge i me td eri 
协议 工作 内 容 ， 对 用 户 是 透明 的 ， 但 是 也 可 能 是 恶作剧 代码 ， 或 者 是 蓄意 破坏 的 代码 ， 它 > 


二 去 -高 等 职业 教育 “十 二 五 ”规划 教材 一 S 


一 第 9 章 Web 安全 与 维护 国 


们 会 窃取 Web 浏览 器 用 户 计算 机 上 的 所 有 可 能 的 隐私 ， 也 可 能 破坏 计算 机 的 设备 ， 可 能 
用 户 在 上 网 时 误 入 歧途 。 因 此 ，Web 浏览 器 也 是 有 安全 风险 的 。 


9.3 Web 浏览 器 的 实 全 


如 果 所 有 的 网 络 用 户 都 能 够 安 分 地 使 用 网 络 这 个 美好 的 工具 , 那么 Web 浏览 器 用 户 就 
没有 什么 可 以 担忧 的 了 ， 但 非常 不 幸 的 是 ， 网 络 世 界 是 良 劳 不 齐 、 复 杂 多 样 的 ， 可 能 随时 
会 受到 恶意 的 攻击 甚至 被 毁坏 。 


9.3.1 浏览 器 本 身 的 漏洞 


浏览 器 的 功能 越 来 越 强 大 ， 但 是 由 于 程序 结构 的 复杂 ， 在 堵 住 了 旧 漏洞 的 同时 ， 可 能 
又 出 现 了 新 的 漏洞 。 浏 览 器 的 安全 漏洞 可 能 让 攻击 者 获取 磁盘 信息 、 安 全 口令 ， 甚 至 破坏 
磁盘 文件 系统 等 。 下 面 举 出 两 个 已 知 的 浏览 器 安全 漏洞 。 
1，UNIX 下 的 Lynx 的 一 个 安全 漏洞 
在 Lynx 的 2.7.1 版 本 之 前 ， 都 存在 着 漏洞 ， 只 要 做 一 个 包含 backtick 字符 的 
LynxDownLoadURL， 它 就 允许 Web 创建 者 在 用 户 的 机 器 上 执行 任意 的 命令 。 解 决 这 个 问 
题 的 方法 是 升级 Lynx 的 版 本 。 
2.，Internet Explorer 的 安全 威胁 
在 这 个 浏览 器 中 存在 着 许多 安全 威胁 。 
(1) 远程 执行 代码 漏洞 。 
Intemet Explorer 8、9 版 本 在 访问 内 存 中 已 被 删除 或 尚未 正确 分 配 的 对 象 的 方式 中 存在 
一 个 远程 执行 代码 漏洞 。 该 漏洞 可 能 以 一 种 允许 攻击 者 在 Internet Explorer 的 当前 用 户 的 上 
下 文中 执行 任意 代码 的 方式 损坏 内 存 。 攻击 者 可 能 拥有 一 个 旨 在 通过 Intemet Explorer 利用 
此 漏洞 的 特制 网 站 ， 然 后 诱 使 用 户 查看 该 网 站 。 解 决 的 方法 就 是 安装 补丁 程序 或 者 升级 浏 
览 器 版 本 。 
(2) 拒绝 服务 漏洞 。 
Interet Explorer 8 处 理 恶 意 脚本 代码 时 ， 远 程 攻击 者 可 以 利用 漏洞 使 应 用 程序 崩溃 。 
通过 构建 恶意 Web 页 ， 诱 使 用 户 访问 ， 可 触发 此 漏洞 。 
(3) 地 址 栏 URI 欺骗 漏洞 。 
在 Intemet Explorer 8、9 版 本 代理 服务 设置 中 ， 如 果 HTTP 和 Secure 栏 中 具有 相同 代 
理 地 址 和 端口 ，IE 没有 确保 SSL 锁定 图 标 与 地 址 栏 一 致 ， 通 过 特制 的 HTML 文档 触发 多 
个 任意 主机 的 HITPS 请 求 ， 随 后 提交 一 个 可 信 主 机 的 HTTPS 请 求 ， 再 向 不 可 信 主 机 发 送 
一 个 HTTP 请 求 ， 可 欺骗 Web 站 点 。 
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9.3.2 Web 页面 中 的 恶意 代码 


由 于 某 些 动态 页 面 以 来 源 不 可 信 的 用 户 输入 的 数据 为 参数 生成 页 面 , 所 以 Web 页 面 中 
可 能 会 不 经 意 地 包含 一 些 恶意 的 脚本 程序 。 如 果 Web 服务 器 不 对 此 进行 处 理 ， 那 么 很 可 能 
对 Web 服务 器 和 浏览 器 用 户 都 带 来 安全 威胁 。 即 使 采用 SSL 来 保护 传输 ,也 不 能 阻止 这 些 
恶意 代码 的 传输 。 


9.3.3 Web 欺骗 
由 于 Intemet 上 Web 网 页 容易 复制 的 特点 ， 使 得 Web 欺骗 变 得 简单 。 
1. 欺骗 攻击 


所 谓 欺 骗 攻 击 就 是 指 攻 击 者 通过 伪造 一 些 容易 引起 错觉 的 文件 、 音 像 或 者 其 他 场景 来 
诱导 受骗 者 做 出 错误 的 与 安全 有 关 的 决策 。 在 网 络 虚拟 的 世界 里 , 同样 存在 被 骗 的 受害 者 。 
Web 欺骗 就 是 一 种 网 络 欺骗 ， 攻 击 者 构建 的 虚假 网 站 看 起 来 就 像 真 实 站 点 ， 具 有 同样 的 连 
接 ， 同 样 的 页 面 ， 而 实际 上 ， 被 欺骗 的 所 有 浏览 器 用 户 与 这 些 伪装 的 页 面 的 交互 都 受到 攻 
击 者 的 控制 。 

2. Web 欺骗 攻击 的 原理 

Web 欺骗 攻击 成 功 的 关键 在 于 攻击 者 的 伪 服 务 器 必须 位 于 受骗 用 户 到 目标 Web 服务 的 
必 经 路 径 上 。 

攻击 者 首先 在 某 些 Web 网 页 上 改写 所 有 与 目标 Web 站 点 有 关 的 链接 , 使 其 不 能 指向 真 
正 的 Web 服务 器 ， 而 是 指向 攻击 者 的 伪 服 务 器 。 当 用 户 单 击 这 些 链接 时 ， 首 先 指向 了 伪 服 
务 器 ， 攻 击 者 向 真正 的 服务 器 索取 用 户 的 所 需 界面 。 当 获得 目标 Web 送 来 的 页 面 后 ， 伪 服 
务 器 改写 链接 并 加 入 伪装 代码 ， 送 给 被 欺骗 的 浏览 器 用 户 。 

3. 对 策 

Web 欺骗 攻击 的 危害 大 ， 上 当 的 用 户 可 能 会 不 知 不 觉 泄漏 机 密 信息 ， 还 可 能 受到 经 济 
损失 。 为 确保 安全 ， 用 户 可 以 采取 以 下 的 措施 。 

(1) 尽量 避免 使 用 非 有 不 可 的 浏览 器 的 JavaScript、ActiveX 和 Java 选项 。 

(2) 充分 利用 浏览 器 的 提示 信息 。 

(3) 进入 SSL 安全 链接 时 ， 仔 细 查 看 站 点 的 证 书 是 否 与 其 所 声称 的 一 致 ， 不 要 被 相 
似 的 字符 欺骗 。 


9.4 Web 股 务 器 的 实 全 策略 


9.4.1 制定 安全 策略 


1， 定制 安全 政策 


无 论 多 么 优秀 的 系统 ， 必 须 有 人 进行 安全 管理 和 被 合法 地 使 用 ， 否 则 ， 了 瑟 有 委 全 网 A 
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。 所 以 ， 要 有 安全 政策 ， 它 包括 以 下 几 个 方面 。 

(1) 定义 安全 资源 ， 进 行 重要 等 级 划分 。 

这 是 为 了 从 全 局 的 观点 制定 安全 策略 。 它 是 一 项 具体 的 工作 ， 不 同 单位 、 不 同 的 管理 
层 对 安全 资源 的 定义 各 不 相同 。 

(2) 进行 安全 风险 评估 。 

安全 风险 评估 是 权衡 考虑 各 类 安全 资源 的 价值 和 对 它们 保护 所 需要 的 费用 ， 尽 量 以 适 
当 的 开销 获得 满意 的 安全 保障 。 很 明显 ， 个 人 娱乐 站 点 的 安全 投资 要 比 网 上 银行 站 点 的 安 
全 投资 少 得 多 。 

(3) 制定 安全 策略 的 基本 原则 。 

在 安全 资源 的 等 级 划分 和 风险 评估 的 基础 上 ， 制 定安 全 策略 的 基本 原则 。 每 个 站 点 的 
基本 策略 都 是 独一无二 的 ， 它 为 该 站 点 定义 预期 的 安全 级 别 ， 也 就 是 说 ， 该 站 点 如 何 规划 
安全 性 。 

(4) 建立 安全 培训 制度 。 

为 增加 单位 员工 的 安全 认识 ， 从 人 为 的 角度 尽量 避免 安全 问题 的 发 生 ， 要 建立 安全 培 
训 制 度 。 

(5) 具有 意外 事件 处 理 措施 。 

安全 是 相对 的 ， 不 是 绝对 的 。 所 以 ， 必 须 明确 无 论 安全 措施 如 何 完备 、 如 何 具体 ， 还 
是 有 可 能 出 现 意外 的 安全 问题 ， 所 以 必须 有 相应 的 意外 事件 处 理 和 补救 的 措施 。 

2. 认真 组 织 Web 服务 器 

服务 器 的 安全 策略 有 很 多 内 容 ， 这 里 简单 介绍 几 个 重要 的 内 容 : 
选择 好 合适 的 Web 服务 器 设备 和 相关 软件 。 
提供 静态 页 面 和 多 种 动态 页 面 的 能 力 。 
接受 和 处 理 用 户 信息 的 能 力 。 
提供 站 点 搜索 服务 的 能 
远程 管理 的 能 
而 关于 安全 方面 的 要 求 包括 : 

在 已 知 的 Web 服务 器 漏洞 中 ， 针 对 该 类 型 的 漏洞 最 少 。 

对 服务 器 的 管理 操作 只 能 由 授权 用 户 执行 。 

拒绝 通过 Web 访问 不 公开 的 信息 。 

能 够 禁止 内 嵌 的 不 必要 的 网 络 服务 。 

能 够 控制 各 种 形式 的 可 执行 程序 的 访问 。 

能 够 具有 一 定 的 容错 性 。 

能 对 某 些 Web 操作 进行 日 志 记录 ， 便 于 执行 入 侵 监 测 和 入 侵 企图 分 析 。 
面 介 绍 Web 服务 器 的 配置 和 安全 管理 。 
(1) 仔细 配置 Web 服务 器 。 
为 服务 器 的 重要 性 ， 在 它 的 配置 上 ， 一 定 要 仔细 。 一 般 采 用 如 下 方法 。 
Q@ 将 服务 器 与 内 部 网 隔离 开 。Web 服务 器 被 入 侵 时 ， 会 造成 Web 服务 器 系统 被 破坏 
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甚至 崩溃 ， 入 侵 者 收集 如 用 户 和 名、 口令 等 信息 ; 入 侵 者 借助 入 侵 的 服务 器 为 基础 ， 进 一 步 
破坏 其 他 网 络 等 危害 。 

@ 做 好 安全 的 Web 站 点 的 备份 。 备 份 系统 是 系统 管理 员 必 需 做 的 一 件 事 。 通常 ，Web 
服务 器 都 采用 多 台 备份 机 器 在 服务 。 但 是 要 保证 备份 的 内 容 是 真实 、 可 靠 的 和 备份 存储 的 
地 方 是 可 靠 、 安 全 的 。 

@ 合理 配置 主机 系统 。 主 机 的 操作 系统 是 Web 的 平台 ， 合 理 地 配置 主机 系统 ， 能 够 
为 Web 服务 器 提供 强大 的 安全 支持 。 主 要 考虑 仅仅 提供 必要 的 服务 和 使 用 必要 的 辅助 工具 。 

@ 合理 配置 Web 服务 器 软件 。 

(2) Web 服务 器 的 安全 管理 。 

Web 服务 器 的 安全 管理 主要 包括 以 下 几 个 方面 。 

@ 更 新 Web 服务 器 内 容 尽量 采用 安全 方式 ， 比 如 ， 尽 可 能 的 避免 网 络 更 新 ， 而 是 采 
用 本 地 方式 。 

@ 经 常 审查 有 关 日 志 。 

@ 进行 必要 的 数据 备份 。 备 份 是 对 付 任何 意外 事故 的 保留 方法 ， 是 系统 的 最 后 的 安全 
防线 。 

@ 定期 对 Web 服务 器 进行 安全 检查 。 安 全 检查 的 目的 是 为 了 及 时 发 现 Web 服务 器 
系统 的 安全 缺陷 和 及 时 发 现 入 侵 痕迹 。 

3， 了 解 最 新 的 安全 指南 

了 解 最 新 的 安全 指南 很 重要 ， 主 要 的 目的 有 以 下 几 点 。 

(1) 及 时 更 新 系统 软件 和 应 用 软件 的 版 本 ， 避 免 已 存在 漏洞 的 软件 仍旧 在 使 用 。 

(2) 了 解 最 新 发 现 的 安全 漏洞 和 新 的 攻击 工具 的 特点 ， 以 便 做 好 预防 。 

(3) 了 解 、 掌 握 最 新 的 安全 保护 技术 和 工具 。 

(4) 修订 原来 的 安全 策略 ， 引 进 必 要 的 安全 工具 。 

每 个 网 站 的 安全 需求 不 同 ， 受 到 攻击 的 机 率 和 手段 都 不 相同 ， 因 此 在 实践 中 系统 的 安 
全 工作 要 结合 系统 本 身 的 特点 来 进行。 


9.4.2 Web 服务 器 安全 应 用 


1. 正确 安装 Windows Server 2003 


(1) 分 区 和 人 逻辑 盘 的 分 配 。 

推荐 的 安全 配置 是 建立 3 个 逻辑 驱动 器 ， 第 一 个 大 于 2GB， 用 来 装 系 统 和 重要 的 日 志 
文件 ， 第 二 个 放 IS， 第 三 个 放 FTP， 这 样 无 论 HS 或 FTP 出 了 安全 漏洞 都 不 会 直接 影响 到 
系统 目录 和 系统 文件 。 要 知道 ，IS 和 FTP 是 对 外 服务 的 ， 比 较 容 易 出 问题 。 而 把 IS 和 
FTP 分 开 主要 是 为 了 防止 入 侵 者 上 传 程 序 并 从 IIS 中 运行 。 

(2) 安装 顺序 的 选择 。 

Windows Server 2003 在 安装 中 有 几 个 顺序 是 要 注意 的 。 

G@ 何 时 接 入 网 络 。Windows Server 2003 在 安装 时 有 一 个 漏洞 ， 在 输入 密码 后 ， 系 统 
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就 建立 了 ADMINS 的 共享 ， 但 是 并 没有 用 刚刚 输入 的 密码 来 保护 它 ， 这 种 情况 一 直 持续 到 
再 次 启动 后 ， 在 此 期 间 ， 任 何人 都 可 以 通过 ADMINS 进 入 你 的 机 器 ， 同 时 ， 只 要 安装 一 完 
成 ， 各 种 服务 就 会 自动 运行 ， 而 这 时 的 服务 器 是 满 身 漏洞 ， 非 常 容易 进入 。 因 此 ， 在 完全 
安装 并 配置 好 Windows Server 2003 前 ， 一 定 不 要 把 主机 接 入 网 络 。 

@ 补丁 的 安装 。 补 丁 的 安装 应 该 在 所 有 应 用 程序 安装 完 之 后 ,因为 补丁 程序 往往 要 蔡 
换 /修改 某 些 系统 文件 ， 如 果 先 安装 补丁 再 安装 应 用 程序 有 可 能 导致 补丁 不 能 起 到 应 有 的 
效果 。 


2.， 安全 配置 Windows Server 2003 


即使 正确 地 安装 了 Windows Server 2003， 系 统 还 是 有 很 多 的 漏洞 ， 还 需要 进一步 进行 
细致 的 配置 。 

(1) 端口 。 它 是 计算 机 和 外 部 网 络 相 连 的 逻辑 接口 ， 也 是 计算 机 的 第 一 道 屏障 ， 
端口 配置 正确 与 否 直 接 影响 到 主机 的 安全 。 一 般 来 说 , 仅 打开 需要 使 用 的 端口 会 比较 安 
全 。 配 置 的 方法 是 在 “网 卡 属性 ”一 “TCP/IP” 一 “高 级 ”一 “选项 ”一 “TCP/IP 得 
选 ” 选 项 中 启用 TCP/IP 筛选 ， 不 过 对 于 Windows Server 2003 的 端口 过 滤 来 说 ， 有 一 个 
不 好 的 特性 : 只 能 规定 打开 哪些 端口 ， 不 能 规定 关闭 哪些 端口 ， 这 样 对 于 需要 打开 大 量 
端口 的 用 户 就 不 太 方便 。 

(2) IS。 它 是 微软 组 件 中 漏洞 最 多 的 一 个 ， 平 均 两 三 个 月 就 要 出 一 个 漏洞 ， 而 微软 
的 IIS 默认 安装 又 不 安全 ， 所 以 IIS 的 配置 是 重点 。 

@O 把 C 盘 那 个 Inetpub 目录 彻底 删 掉 ， 在 D 盘 新 建 一 个 Inetpub 文件 ， 也 可 以 给 目录 
改 一 个 名 字 ， 但 是 自己 要 记得 ， 然 后 在 IS 管理 器 中 将 主 目录 指向 D:\Inetpub。 

@ 将 IIS 安装 时 默认 的 Scripts 等 虚拟 目录 一 概 删除 ， 如果 需 要 什么 权限 的 目录 ， 再 建 
立 对 应 的 目录 。 

3， 账 号 安全 

Windows Server 2003 的 账号 安全 是 另 一 个 重点 。 首 先 ，Windows Server 2003 的 默认 安 
装 多 许 任何 用 户 通过 空 用 户 得 到 系统 所 有 账号 /共享 列表 ， 这 个 本 来 是 为 了 方便 局 域 网 用 户 
共享 文件 的 , 但 是 一 个 远程 用 户 也 可 以 得 到 用 户 列表 并 使 用 暴力 法 破解 用 户 密码 。Windows 
Server 2003 的 本 地 安全 策略 (如 果 是 域 服 务 器 就 是 在 域 服务 器 安全 和 域 安全 策略 中 ) 有 这 
样 的 选项 一 一 RestrictAnonymous (匿名 连接 的 额外 限制 )， 该 选项 有 3 个 值 。 

回 0: None. Rely on default permissions (无 ， 取 决 于 默认 的 权限 )。 

回 1: Do not allow enumeration of SAM accounts and shares (不 允许 枚 举 SAM 账户 和 

共享 )。 

回 2: No access without explicit anonymous permissions (没有 显示 匿名 权限 就 不 允许 

访问 )。 

值 0 是 系统 默认 的 ， 什 么 限制 都 没有 有， 远程 用 户 可 以 知道 你 计算 机 上 所 有 的 账户 、 组 
信息 、 共 享 目 录 、 网 络 传输 列表 (NetServerTransportEnum ) 等 ， 对 服务 器 来 说 这 样 的 设置 
非常 危险 。 值 1 只 允许 非 NULL 用 户 存 取 SAM 账户 信息 和 共享 信息 。 值 2 在 Windows Server 

\ 2003 中 才 支 持 ， 推 荐 设 为 1 比较 好 。 
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这 样 ， 入 侵 者 现在 就 没有 办 法 拿 到 用 户 列表 ， 应 该 说 账户 安全 了 。 另 外 ， 为 了 安全 还 
要 将 系统 内 建 的 administrator 账户 改名 。 
4. 设置 好 完全 策略 
设置 策略 和 设置 方法 可 参照 Windows Server 2003 网 络 安全 与 策略 (第 4 章 ) 这 一 部 分 
的 内 容 。 
5， 目 录 和 文件 权限 
为 了 控制 好 服务 器 上 用 户 的 权限 ， 同 时 也 为 了 预防 以 后 可 能 的 入 侵 和 溢出 ， 还 必须 非 
常 小 心地 设置 目录 和 文件 的 访问 权限 , NT 的 访问 权限 包括 读 取 、 写 入 、 读 取 及 执行 、 修 改 、 
列 目录 和 完全 控制 。 在 默认 情况 下 ， 大 多 数 的 文件 夹 对 所 有 用 户 (Everyone 这 个 组 ) 是 完 
全 敞开 的 〈Full Control)， 需 要 根据 应 用 的 需要 进行 权限 重 设 。 
实际 上 ，Web 的 安全 和 应 用 在 很 多 时 候 是 矛盾 的 ， 因 此 ， 需 要 在 其 中 找到 平衡 点 ， 毕 
竟 服 务 器 是 给 用 户 用 而 不 是 做 OPEN HACK 的 ， 如 果 安 全 原则 妨碍 了 系统 应 用 ， 那 么 这 个 
安全 原则 也 不 是 一 个 好 的 原则 。 
网 络 安全 是 一 项 系统 工程 ， 它 不 仅 有 空间 的 跨度 ， 还 有 时 间 的 跨度 。 很 多 用 户 (包括 
部 分 系统 管理 员 ) 认为 进行 了 安全 配置 的 主机 就 是 安全 的 ， 其 实 这 其 中 有 个 误区 : 我 们 只 
能 说 一 台 主 机 在 一 定 的 情况 、 一 定 的 时 间 上 是 安全 的 ， 随 着 网 络 结构 的 变化 ， 新 的 漏洞 的 
发 现 ， 管 理 员 /用 户 的 操作 ， 主 机 的 安全 状况 是 随时 随地 变化 的 ， 只 有 让 安全 意识 和 安全 制 
度 贯 穿 整个 过 程 才 能 做 到 真正 的 安全 。 


本 章 小 全 


Web 是 一 种 典型 的 分 布 式 应 用 结构 。Web 开发 技术 被 分 为 客户 端 技术 和 服务 端 技术 两 
大 类 。 

Web 的 安全 有 很 多 因素 需要 考虑 , 如 Web 服务 器 的 安全 、Web 服务 器 所 在 的 网 络 安全 、 
Web 浏览 器 的 用 户 的 安全 风险 等 。 


习 通 


人 填空 题 


1. WWW 服务 采用 客户 机 /服务 器 工作 模式 ， 它 以 
为 基础 ， 为 用 户 提供 界面 一 致 的 信息 浏览 系统 。 

2. HTTP 协议 是 分 布 式 的 Web 应 用 的 核心 技术 协议 ， 在 TCP/IP 协议 栈 中 属于 
层 协议 。 

3. 目前 常用 的 Web 浏览 器 主要 有 和 两 种 。 

4. Web 浏览 器 的 不 安全 因素 主要 来 自 _。 


与 超 文本 传输 协议 HTTP 


‘1 
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5，Web 欺骗 攻击 是 指 


二 、 选 择 题 
1， 在 访问 互联 网 过 程 中 ， 为 了 防止 Web 页 面 中 恶意 代码 对 自己 计算 机 的 损害 ， 可 以 
采取 防范 措施 。 


A. 利用 SSL 访问 Web 站 点 

B. 将 要 访问 的 Web 站 点 按 其 可 信 度 分 配 到 浏览 器 的 不 同安 全 区 域 

C. 在 浏览 器 中 安装 数字 证 书 

D. 要 求 Web 站 点 安装 数字 证 书 

统一 的 安全 电子 政务 平台 包括 统一 的 可 信 Web 服务 平台 、 统 一 的 Web 门户 平台 与 


A. 数据 交换 平台 ” B. 电视 会 议 平台  C. 语音 通信 平台 D. 电子 邮件 平台 
三 、 简 答题 


1. Web 服务 器 的 安全 需求 有 哪些 ? 
2. Web 浏览 器 的 安全 需求 有 哪些 ? 
3. 简 述 Web 服务 器 的 安全 策略 。 
4. 如 何 进行 服务 器 的 安全 配置 ? 


本 壮实 训 
实 训 1 IE 浏览 器 的 安全 设置 


实 训 目 的 

(1) 了 解 正 浏览 器 的 基本 功能 

(2) 掌握 提高 下 浏览 器 安全 性 的 设置 方法 。 

实 训 环 境 

(1) 一 台 连 上 Intemet 的 计算 机 。 

(2) IE 8.0 浏览 

操作 步骤 

第 1 步 : 正 浏 览 器 安全 性 的 设置 。 

有 很 多 针对 正 浏览 器 的 病毒 都 是 通过 在 网 页 中 使 用 恶意 脚本 程序 来 运行 的 , 只 需要 禁 
止 在 浏览 器 中 执行 这 些 脚 本 就 可 以 达到 防范 于 未 然 的 目的 。 

在 下 浏览 器 中 选择 “工具 ”一 “Intermet 选项 ”命令 ， 即 可 打开 “Intemet 选项 ”对 话 


、\ 框 ， 如 图 9.1 所 示 。 选 择 “ 安 全 ”选项 卡 ， 如 图 9.2 所 示 。 
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Internet 选项 
入 现 | 安全 | 隐私 | 内 容 | 连接 | 程序 | 高 级 | 


主页 
ma 若 要 创建 主页 选项 卡 ， 请 在 各 地 址 行 键入 地 址 人 B)。 
E 


轩 
使 用 当前 页 C) | 使 用 默认 值 E) | 使 用 空白 页 四 ) 


浏览 历史 


厂 退出 时 删除 浏览 历史 记录 如 


记录 
| 于 全 站 历史 记录 、Cooki e、 保 存 的 密码 和 网 页 


到 除 | 设置 加 
也 更 改 搜索 默认 值 。 设置 四) 
选项 下 
”更 疏 网 页 在 选项 卡 中 显示 的 方式 ， 设置 四 ) 


图 9.1 


“Internet 选项 ”对 话 框 


颜色 @) 语言 中 字体 中 辅助 功能 | 
取消 | | 


Internet 选项 
常规 ”安全 | 隐私 | 内 容 | 连接 | 程序 | 高 级 | 


本 地 可 信 站 点 。。” 委 限 站 点 
Intranet 到 


Bad) 


@ 所 


Tnternet 
© NE 


讲 区 域 的 安全 纯 别 也) 
自 定义 


i 


默认 级 别 加) 


自 定义 级 别 忆 ，. 


将 所 有 区 城 重 置 为 默认 倒 别 E) 


取消 应 用 [EY 


图 9.2 “安全 ”选项 卡 


21x| 


在 “安全 ”选项 卡 中 单 击 “ 自 定义 级 别 ” 按 钮 ， 弹 出 “安全 设置 ”对 话 框 ， 如 图 9.3 
所 示 。 将 “脚本 ”选项 中 的 “Java 小 程序 脚本 ”和 “活动 脚本 ”都 设置 成 “禁用 ”， 以 便 以 
后 上 网 浏览 时 不 用 担心 脚本 类 病毒 。 不 过 ， 正 常 网 页 中 所 有 通过 脚本 实现 的 网 页 特殊 效果 


也 被 禁用 了 。 
第 2 步 : 删除 Internet 临时 文件 。 


在 用 户 上 网 冲浪 时 ， 正 会 自动 产生 一 些 临时 文件 、 垃 圾 文件 和 记录 一 些 信息 ， 在 很 多 


情况 下 这 些 痕迹 也 能 暴露 用 户 的 隐私 信息 。 


选择 正 浏览 器 的 “工具 ”一 “Intemet 选项 ”命令 ， 打开“Intemet 选项 ”对 话 框 ， 选 


择 “常规 ”选项 卡 ， 单 击 “ 删 除 ” 按 钮 。 然 后 在 弹出 的 “删除 浏览 的 历史 记录 ”对 话 框 


选中 “Internet 临时 文件 ” 复 选 框 ， 单 击 “ 删 除 ” 按 钮 ， 如 图 9.4 所 示 。 


设置 G): 


[加 Astivex 控件 和 插件 
(ls 
〇 局 用 


OQ 启用 


〇 提示 
图 下 载 未 签名 的 Activex 控件 
旬 禁用 


图 9 ActivaX 控件 执行 脚本 
禁用 


_ Q 提示 
图 对 没有 标记 为 安全 的 Activex 控件 进行 初始 化 和 基 
@@ 禁用 


图 9.3 “安全 设置 ”对 话 框 


一 除 到 览 的 态 严 记 巴 


人 Cookie 和 Internet 临时 文件 ,以 保留 
rT El 
|、 本， 以 便 快速 查看 。 


Deeokie (@) 
网 站 存储 在 计算 机 上 的 文件 ， 以 保存 如 登录 信息 等 首选 项 - 


历史 记录 QD 
四 


表单 数据 ) 
| 守 和 eg. 


村 如 
车 录 以 前 访问 过 的 网 站 时 ， 自 动 填充 保存 的 密码 。 


口 Iaprivate 第 选 数 舌 CD 
ITRErivats 入 先 使 用 已 保 和 数 据 检测 况 站 在 向 处 自动 共 序 代 访问 
的 详细 信息 


关于 册 除 济 鉴 的 历 记 录 [Et ] [过 ] 


图 9.4 “删除 浏览 的 历史 记录 ”对 话 框 
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第 3 步 : 清除 正 的 历史 记录 。 

选择 正 浏览 器 的 “工具 ”一 “Intemet 选项 ”命令 ， 打 开 “Intemet 选项 ”对 话 框 ， 选 
择 “ 常 规 ” 选 项 卡 ， 单 击 “ 删 除 ” 按 钮 。 然 后 在 弹出 的 “删除 浏览 的 历史 记录 ”对 话 框 中 
选中 “历史 记录 ” 复 选 框 ， 单 击 “ 删 除 ” 按 钮 。 

第 4 步 : 清除 访问 过 的 网 站 地 址 。 

在 “Intemet 选项 ”对 话 框 中 选择 “内 容 ” 选 项 卡 ， 单 击 “ 设 置 ”按钮 ， 如 图 9.5 所 示 。 
然后 在 弹出 的 “自动 完成 设置 ”对 话 框 中 取消 选中 “地 址 栏 ” 复 选 框 ， 如 图 9.6 所 示 。 这 
样 就 无 法 通过 使 用 部 分 地 址 匹配 的 方法 打开 曾经 访问 过 的 Web 站 点 了 。 


| 常规 | 安全 | 隐私 | 内容 “| 连接 | 程序 | 高 级 | 


内 容 审查 程序 
© 上 的 Internet 内 | 


Er 
证 书 
网 使 用 加 密 连 接 和 标识 的 证 书 
sr [io |] 
二 筑 二 成 ”会 列 出 与 前 雏 入 或 沪 问 的 条 目 可 能 区 也 
et 这 
EY 人 目 过 成 功能 应 用 于 
ll EE 
闪 答 ， 
口 表单 四 ) 
口 表单 上 的 用 户 名 和 密码 ) 
[CC 线 _] CC 
图 9.5 “内 容 ” 选 项 卡 图 9.6 “自动 完成 设置 “对 话 框 


第 5 步 : 清除 正 记 住 的 表单 和 表单 密码 。 

选择 正 浏览 器 的 “工具 ”一 “Intemet 选项 ”命令 ， 打 开 “Intemet 选项 ”对 话 框 ， 选 
择 “ 常 规 ” 选 项 卡 ， 单 击 “ 删 除 ” 按 钮 。 然 后 在 弹出 的 “删除 浏览 的 历史 记录 ”对 话 框 中 
选中 “表单 数据 ” 复 选 框 ， 单 击 “ 删 除 ” 按 钮 ， 如 图 9.7 所 示 。 
选择 下 浏览 器 的 “工具 ”一 “Intemet 选项 ”命令 ， 打 开 “Intemet 选项 ”对 话 框 ， 选 
择 “ 常 规 ” 选 项 卡 ， 单 击 “ 删 除 ” 按 钮 。 然 后 在 弹出 的 “删除 浏览 的 历史 记录 ”对 话 框 中 
选中 “密码 ” 复 选 框 ， 单 击 “ 删 除 ” 按 钮 ， 如 图 9.8 所 示 。 

第 6 步 : 删除 Cookie 内 容 。 

Cookie 是 一 种 发 送 到 客户 端 浏览 器 的 文本 串 句 柄 ， 并 保存 在 客户 机 硬盘 上 ， 很 容易 暴 
露 用 户 信 息 ， 给 用 户 带 来 不 安全 因素 。 通 过 以 下 操作 可 以 禁用 Cookie。 

选择 正 浏览 器 的 “工具 ”一 “JIntemet 选项 ”命令 ， 打 开 “Intemet 选项 ”对 话 框 ， 选 
择 “ 常 规 ” 选 项 卡 ， 单 击 “ 删 除 ” 按 钮 。 然后 在 弹出 的 “删除 浏览 的 历史 记录 ”对 话 框 中 
选中 Cookie 复 选 框 ， 单 击 “ 删 除 ” 按 钮 确认 ， 如 图 9.9 所 示 。 


\Y/ 


- 多 一 高等 职业 教育 “十 二 五 ” 规划 教 村 © 


到 除 列 览 的 历 顽 记 承 
口 保 留 收 疗 赤 网 站 数据 (8) 
人 和 Internet 临时 文件 ， 以 保留 


回 Internet 临时 文件 (T) 
保存 网 页 、 图 像 和 媒体 的 副本 ， 以 便 快速 查看 。 


Cookie (0) 
网 站 存储 在 计算 机 上 的 文件 ， 以 保存 如 登录 信息 等 首选 项 。 


口 历史 记录 QD 
已 访问 网 站 站 


密码 品 
登录 以 前 访问 过 的 网 站 时 ， 自 动 填充 保存 的 密码 。 


InPrivate re 
InFrivate 第 选 使 用 已 保存 数据 检测 网 站 在 何 处 自动 共享 您 访问 
的 详细 信息 。 


| 


到 除 列 览 的 历 严 记录 


口 保 贸 收 豪 夫 网 站 数 磊 (EE) 
合 咖 娃 架 银 Cookie 和 Internet 临时 文件 ,以 保留 


ee 


， 以 便 快 速 查看 。 


Dcookie@) 
网 站 存储 在 计算 机 上 的 文件 ， 以 保存 如 登录 信息 等 首选 项 。 


口 历史 记录 GD 
已 访问 网 站 的 列表 。 


口 表 单数 项 (EF) 
保存 在 表单 中 键入 的 信息 。 


回 雪 码 Re 
登录 以 前 访问 过 的 网 站 时 ， 自 动 填充 保存 的 密码 。 


De 
ee 已 保存 : 在 何 问 


TW | al |] 


图 9.7 清除 表单 的 设置 图 9.8 清除 密码 的 设置 


厂 炽 鲁 收 豪 夫 网 站 数据 加) 


人 六 乓 内 愧 训 帮 风物 Co 和 Internet 临时 文件 ,以 保留 


厂 Internet 临时 文件 (T) 


保存 网 页 、 图 像 和 媒体 的 副本 ， 以 便 快 速 查 看 。 


[了 Cookie (0) 


网 站 存储 在 计算 机 上 的 文件 ， 以 保存 如 登录 信息 等 首选 项 。 


厂 历史 记录 QD 
已 沪 问 网 站 的 列表 


厂 表单 数据 (E) 
保存 在 表单 中 键入 的 信息 。 


厂 密码 到 ) 


登录 以 前 访问 过 的 网 站 时 ， 自 动 填充 保存 的 密码 。 


厂 IaPrivate 


ivate 筛选 使 用 已 保存 数据 检测 网 站 在 何 处 自 您 访问 
InRr; 网 站 : 动 共享 ! 
的 详细 信息 。 
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图 9.9 
实 训 2 Web 服务 器 安全 配置 
实 训 目 的 
掌握 提高 Web 服务 器 安全 性 的 设置 方法 。 
实 训 环境 
安装 了 Windows Server 2003 操作 系统 的 服务 器 。 


清除 Cookie 的 设置 


AS 
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操作 步骤 
第 1 步 : 启用 过 期 内 容 。 
启用 过 期 内 容 就 是 指 通过 设置 来 保证 自己 的 站 点 的 过 期 信息 不 被 发 布 出 去 。 
(1) 在 “默认 网 站 属性 ”对 话 框 中 选择 “HTTP 头 ”选项 卡 ， 如 图 9.10 所 示 。 在 该 
选项 卡 中 ， 选 中 “启用 内 容 过 期 ” 复 选 框 ， 激 活 “ 启 用 内 容 过 期 ”选项 区 域 中 的 选项 。 

(2) 在 “启用 内 容 过 期 ”选项 区 域 中 ， 用 户 可 以 设置 内 容 的 过 期 时 间 。 

第 2 步 : 内 容 分 级 设置 。 

如 果 用 户 站 点 的 内 容 并 不 是 针对 所 有 的 访问 者 ， 需 要 进行 内 容 分 级 设置 ， 以 防止 不 有 具 
备 分 级 要 求 的 其 他 访问 者 查看 站 点 内 容 。 在 预 设 的 情况 下 ，Windows Server 2003 启用 的 是 
RSAC (Recreational Software Advisory Council) 分 级 服务 系统 进行 分 级 服务 。 该 Internet 
分 级 是 斯 坦 福 大 学 的 Donald F Roberts 博士 研究 的 ， 它 主要 针对 暴力 、 性 、 裸 体 和 语言 
个 方面 进行 分 级 设置 。 在 设置 分 级 服务 内 容 前 ， 用 户 需 要 上 网 填写 一 个 RSAC 分 级 问卷 
以 获得 一 些 推荐 的 内 容 分 级 ， 以 便 更 好 地 进行 分 级 设置 。 分 级 内 容 的 设置 过 程 如 下 

(1) 在 图 9.10 中 单 击 “ 编 辑 分 级 ”按钮 ， 打 开 “ 内 容 分 级 ”对 话 框 ， 如 图 9.11 所 示 。 
Eee oo IE > 


自 定义 错误 “| BITS 服务 器 扩展 | ASP.NWET | Server Extensions 2002 
网 站 “| 性 能 | TSAET 第 选 器 | 主 目录 | 文档 Tse ITP 头 


[四 用 
°c A 
他 此 时 间 段 后 过 期 &) | 攻  ” 习 
个 过 ai 间 @) [2015 每 5 月 6 日 在 | 0:%:%m 导 
添加 吧 . | 
yl | || | 
再 队友 
广内 容 分 时 | 
Ea 站 于 编辑 分 状 D ! 内 容 人 妇 天 员 的 电子 邮件 开赴 号 
让 
Re 旬 | 过 期 日 期 @): |2014 年 4 月 号 日 
TT ||| | 可 


以 改 日 期 2013 年 4 有 28 日，15:21 


Eee ae | 


取消 用 WW 才 助 
图 9.10 “HTITP 头 ”选项 卡 图 9.11 “内 容 分 级 ”对 话 框 


(2) 用 户 可 以 在 此 设置 分 级 服务 的 内 容 ， 以 过 滤 公司 的 Web 页 的 内 容 。 选 择 “ 分 级 ” 
选项 卡 ， 并 选中 “对 此 内 容 启 用 分 级 ” 复 选 框 ， 如 图 9.12 所 示 。 

(3) 在 “类 别 ” 列 表 框 中 ， 选 择 暴力 、 性 、 裸 体 和 语言 4 个 类 别 中 的 一 种 ， 分 级 滑 块 
就 会 显示 出 来 ， 调 节 该 滑 块 ， 可 改变 所 选 类 别 的 分 级 级 别 。 
(4) 如 果 希 望 对 自己 的 电子 邮件 进行 分 级 服务 ， 可 以 在 “内 容 分 级 人 员 的 电子 邮件 ” 
文本 框 中 输入 自己 的 电子 邮件 地 址 。 

(5) 如 果 希 望 单独 为 分 级 服务 设置 失效 时 间 ， 可 单 击 “ 过 期 日 期 ”下 拉 列 表 框 
三 角 按 钮 ， 从 弹出 的 日 历 中 选择 一 个 日 期 。 


co (6) 设置 好 之 后 ， 单 击 “ 确 定 ”按钮 返回 到 “默认 网 站 属性 ”对 话 框 ， 再 单 击 “ 确 定 ” 
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按钮 ， 保 存 设 置 。 
第 3 步 : 添加 网 页 页 脚 。 
在 Web 站 点 管理 中 ， 用 户 经 常 在 每 一 个 Web 页 的 前 面 插入 一 个 由 HTML 语言 编写 的 
脚本 文件 ， 作 为 网 页 页 脚 ， 以 增加 Web 站 点 的 内 容 。 
(1) 创 建 一 个 HTML 网 页 页 脚 文件 , 并 把 它 保存 在 自己 的 Web 服务 器 所 在 的 硬盘 上 。 
(2) 在 Intemet 服务 管理 器 的 控制 台 目 录 树 中 , 右 击 某 一 个 Web 站 点 或 者 目录 子 节点 ， 


例如 ， 右 击 默 认 网 站 ， 从 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ,打开 “默认 网 站 属性 ”对 

话 框 ， 选 择 “ 文 档 ” 选 项 卡 ， 如 图 9.13 所 示 。 

ICE 世 
分 级 | 自 定义 错误 “| BITS 服务 器 扩展 | ASP_NET | Server Extensions 2002 | 
7 卫 大 下 及 大 加 | 网 站 。 | 性 能 | ISAEI 福光 器 | 主 目录 文档 ”| 目录 安全 性 | MTTP 头 

区 5。 iT， 疝 肌 有 二 设 置 此 内 容 的 分 领 值 站 和 人 
并 天 加 [日 楂 Esc 
Bm 暴 
Em 性 
人 ER | TR 
分 级 员 ; 于 三 启用 文档 页 秆 
WT ym sm ey Web 服务 器 返回 的 每 一 个 文 
内 容 分 级 人 员 的 电子 邮件 地 址 员 ); Tm WD 
EE 
过 期 日 期 @); |2014 年 4 月 28 日 加 
修改 日 期 : 2013 年 4 月 28 日 ，15:21 
1 
| 取消 | 应 用 WwW | 下 助 | 取消 “| 用 区 |。 更 
图 9.12 “分 级 ”选项 卡 图 9.13 “文档 ”选项 卡 


(3) 在 “文档 ”选项 卡 中 ， 选 中 “启用 文档 页 脚 ” 复 选 框 ， 在 对 应 文本 框 中 输入 页 脚 
文件 的 完整 路 径 。 如 果 用 户 不 知道 页 脚 文件 的 完整 路 经 ， 可 单 击 “ 浏 览 ” 按 钮 ， 打 开 “ 打 
开 ” 对 话 框 进行 选择 。 

(4) 单 击 “ 确 定 ” 按 钮 ， 返 回 到 属性 对 话 框 ， 再 单 击 “确定 ”按钮 保存 设置 。 

第 4 步 : 安全 认证 。 

在 Windows Server 2003 中 ， 对 于 通过 HTTP 协议 访问 ，Internet 信息 服务 提供 了 3 种 
登录 认证 方式 ， 它 们 分 别 是 匿名 方式 、 明 文 方式 和 询问 /应 答 方式 。 采 用 哪 种 方式 取决 于 用 
户 建立 Internet 信息 服务 器 的 目的 。 

由 于 在 许多 Intemet 信息 服务 器 上 ， 对 Web、FTP 及 SMTP 虚拟 服务 器 的 访问 都 是 匿 
名 的 ， 下 面 以 匿名 访问 为 例 介 绍 如 何 进行 安全 认证 设置 。 

(1) 在 如 图 9.14 所 示 的 对 话 框 中 选择 “目录 安全 性 ”选项 卡 。 

(2) 在 “身份 验证 和 访问 控制 ”选项 区 域 中 单 击 “ 编 辑 ” 按钮， 打开 “身份 验证 方法 ” 
对 话 框 ， 如 图 9.15 所 示 。 

(3) 要 选择 匿名 认证 方式 ， 选 中 “启用 匿名 访问 ” 复 选 框 ， 并 单 击 “浏览 ”按钮 ， 打 
开 如 图 9.16 所 示 的 “选择 用 户 ” 对 话 框 进行 设置 。 
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确定 取消 有 | Ww | 取消 旭 助 | 
图 9.14 “目录 安全 性 ”选项 卡 图 9.15 设置 身份 验证 和 访问 控制 
选择 用 户 2 x 
选择 对 象 类 型 8): 
REF Mg 
查找 位 置 E): 
Fm 人 
输入 要 选择 的 对 象 名 称 全 如 ) GE) 
检查 名 称 何 
高 级 的 南 定 取消 上 
图 9.16 “选择 用 户 ” 对 话 框 


(4) 在 安装 Internet 信息 服务 时 ， 


果 计算 机 名 为 LY， 则 匿名 账号 为 IUSR_LY。 使 用 “IUSR 计算 机 名 ”账号 可 以 将 Web 客 


户 登 录 到 服务 器 上 。 人 允许 匿名 服务 时 ， 


此 账号 的 密码 。 在 “用 户 名 ”文本 框 中 直接 输入 用 户 账号 ， 或 者 单 击 “浏览 ”按钮 ， 打 


如 图 9.17 所 示 的 “选择 用 户 ” 对 话 框 ， 

(5) 在 “身份 验证 方法 ”对 话 框 
文本 框 中 输入 用 户 账号 密码 。 

(6) 单 击 “ 确 定 ” 按 钮 完成 匿名 
单 击 “ 确 定 ” 按 钮 关闭 对 话 框 。 

第 5 步 : IP 地址 及 域名 限制 。 


通过 IP 地址 及 域名 限制 , 用 户 可 禁止 某 些 特定 的 计算 机 或 者 某 些 区 域 中 的 主机 对 


系统 将 自动 创建 一 个 匿名 账号 : IUSR 计算 机 名 ， 如 


管理 员 可 更 改 用 户 匿名 请 求 的 用 户 账号 ， 并 可 更 改 


选择 一 个 要 添加 的 用 户 账号 。 
中 ， 选 中 “启用 匿名 访问 ” 复 选 框 ， 或 者 在 “密码 ” 


访问 设置 ， 返 回 到 “默认 网 站 属性 ”对 话 框 ， 然 后 


芭 


的 Web 和 FTP 站 点 及 SMTP 虚拟 服务 器 的 访问 。 当 有 大 量 的 攻击 和 破坏 来 自 于 某 些 地 址 


或 者 某 个 子 网 时 ， 使 用 这 种 限制 机 制 是 非常 有 用 的 。 


不 过 ,进行 瑟 地 址 及 域名 限制 的 首要 


条 件 是 用 户 必 须知 道 网 络 黑客 的 计算 机 使 用 哪些 卫 地 址 或 属于 哪些 网 络 区 域 , 否则 无 法 进 


\y/ 


计算 机 网 络 安全 技术 安全 技术 | 


行 限制 。 对 基于 Intemet 的 信息 服务 器 , 站 点 接受 来 自 于 各 方 的 访问 , 用 户 很 难 进行 地 址 限 
制 。 一 般 来 说 ， 只 有 基于 企业 内 部 网 络 的 信息 服务 器 才 使 用 他 地址 及 域名 进行 安全 保护 。 
下 面 以 Web 站 点 为 例 进行 PP 地址 及 域名 限制 的 设置 。 

(1) 在 图 9.14 的 “IP 地 址 和 域名 限制 ”选项 区 域 中 ， 单 击 “ 编 辑 ” 按 钮 ， 打 开 “ 卫 
地 址 和 域名 限制 ”对 话 框 ， 如 图 9.18 所 示 。 


图 9.17 选择 用 户 


(2) 如 果 选 中 “授权 访问 ” 单 选 按钮 ， 除 了 “下 列 除外 ”列表 框 中 的 计算 机 外 ， 其 他 
所 有 的 计算 机 都 可 访问 该 Web 站 点 上 的 内 容 ， 如 果 选 中 “拒绝 访问 ” 单 选 按钮 ， 除 了 “下 
列 除外 ”列表 框 中 的 计算 机 外 ， 其 他 所 有 的 计算 机 都 不 能 访问 该 Web 站 点 上 的 内 容 。 这 里 
选中 “授权 访问 ” 单 选 按钮 并 添加 没有 访问 权限 的 计算 机 。 

(3) 单 击 “ 添 加 ”按钮 ， 打 开 “ 拒 绝 访问 ” 浊 肖 从， 如 图 9.19 所 示 。 


IP 地 址 和 域名 限制 。 


图 9.18 设置 他 地 址 和 域名 限制 图 9.19 “拒绝 访问 ”对 话 框 


(4) 如 果 要 对 单个 计算 机 进行 限制 ， 选 中 “一 台 计 算 机 ” 单 选 按 钮 ， 并 在 “到 地 址 ” 


文本 框 中 输入 要 授权 的 计算 机 的 下 地址 ; 或 者 单 击 “DNS 查找 ”按钮 ， 打 开 “DNS 查找 ” 1 
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对 话 框 ， 选 择 某 个 DNS 域 中 要 授权 的 计算 机 。 如 果 要 对 一 组 计算 机 进行 限制 ， 选 中 “一 组 
计算 机 ” 单 选 按钮 ， 在 “网 络 标识 ”文本 框 中 输入 要 授权 的 一 组 计算 机 中 的 任何 一 个 计算 
机 的 下 地 址 ， 并 在 “ 子 网 掩 码 ” 文 本 框 中 输入 子 网 掩 码 。 如 果 要 对 某 个 域 中 的 计算 机 进行 
限制 ， 选 中 “域名 ” 单 选 按钮 ， 并 在 “域名 ”文本 框 中 输入 授权 的 域名 。 

(5) 单 击 “ 确 定 ” 按 钮 返回 到 “IP 地 址 和 域名 限制 ”对 话 框 。 如 果 还 要 进行 访问 授权 ， 
可 继续 单 击 “ 添 加 ”按钮 进行 添加 。 这 样 ， 被 添加 的 单个 计算 机 、 一 组 计算 机 或 者 一 个 域 
的 客户 可 访问 服务 器 ， 而 其 他 的 客户 则 没有 访问 权 。 

(6) 单 击 “ 确 定 ”按钮 返回 到 “默认 站 点 属性 ”对 话 框 ， 再 单 击 “ 确 定 ” 按 钮 保存 
设置 。 

第 7 步 : 停止 、 启 动 和 暂停 站 点 服务 。 

在 站 点 维护 中 ， 停 止 、 启 动 和 暂停 站 点 服务 是 经 常 要 进行 的 工作 。 例 如 ， 当 某 个 站 点 
的 内 容 和 设置 需要 进行 比较 大 的 修改 时 ,用 户 可 将 该 站 点 的 服务 停止 或 者 暂停 ， 以 便 操 作 。 
当 已 经 停止 或 暂停 的 站 点 需要 启动 自己 的 服务 时 ， 就 启动 它 。 

要 停止 、 启 动 和 暂停 某 个 站 点 的 信息 服务 ， 在 控制 台 目 录 树 中 ， 展 开 “ Internet 信息 
服务 ”节点 和 服务 器 节点 。 如 果 要 和 暂停 某 个 Web 或 者 FTP 站 点 服务 ， 右 击 该 站 点 ， 在 弹出 
的 快捷 菜单 中 选择 “暂停 ”命令 即 可 ; 如 果 要 停止 某 个 Web 或 者 FTP 站 点 服务 ， 右 击 该 
站 点 ， 在 弹出 的 快捷 菜单 中 选择 “停止 ”命令 即 可 :如果 要 启动 某 个 已 经 暂停 或 者 停止 的 
Web 或 者 FTP 站 点 服务 ， 右 击 该 站 点 ， 在 弹出 的 快捷 菜单 中 选择 “启动 ”命令 即 可 。 
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